Técnicas de enumeração de e-mails

Diego PiffarettiDeixe um comentário

A enumeração de e-mails é uma técnica utilizada para identificar e validar endereços de e-mail existentes em um domínio específico. Seja para fins de teste de penetração, marketing ou simplesmente por curiosidade, entender como essa técnica funciona é essencial.

Um invasor pode usar os e-mails detectados para procurar senhas vazadas por exemplo, realizar testes de engenharia social ou para realizar testes de força bruta.

Dominios e formato

O primeiro passo para uma boa enumeração é descobrir os dominios do alvo. E a palavra dominios está no plural de forma proposital: Pense que grandes empresas costumam possuir mais de um dominio, as vezes possuem algumas join ventures ou filiais que podem ser alvos e fazem parte da cadeia de ataque, os quais devem ser também enumerados a depender do escopo. Para identificar os dominios a utilização de buscadores como o Google é uma das melhores opções. Exemplo, supondo que o alvo seja uma empresa chamada EmpresaTeste. Ao buscar no Google por este nome, você provavlemente irá se deparar com o site dessa empresa, suponhamos que seja empresateste.com.br. Na grande maioria das vezes o dominio do e-mail é o mesmo do dominio utilizado no site da empresa. O proximo passo é ainda utilizando o proprio Google, seria fazer uma busca pelas strings “email” “empresateste.com.br”.

Provavemente irão aparecer alguns poucos e-mals nesta busca, principalmente e-mails de sac, contato e atendimento. Isso porém já ajuda a entender se estamos no caminho correto e começar a entender o formato de e-mails.

Linkedin Scraping

LinkedIn scraping envolve o uso de técnicas manuais e/ou ferramentas automatizadas/scripts para extrair dados valiosos, como perfis de usuários, nome e sobrenome e informações de empresas da plataforma LinkedIn. Esses dados extraídos podem ser usados para diversos fins, incluindo geração listas de e-mails.

De forma manual, este scraping pode ser feito indo na busca do Linkedin, procurando pela empresa alvo, no nosso caso é a Empresa Teste

Após acessar o profile da empresa alvo, basta ir na guia “Pessoas”

Ao acessar a guia “Pessoas” você terá acesso a todas as pessoas que se declararam como usuários que trabalham naquela organização. Mais para frente veremos depois como validar estes e-mails. A partir dai, basta montar uma lista com o nome e sobrenome das pessoas que forem obtidas. Vamos supor que a gente obteve os nomes:

  • Maria Flor
  • João das Coves
  • José Brocolis Cenoura

Com esses nomes, pode-se utiliza o Excel,e criar uma planilha com a seguinte estrutura:

Pode-se separar as palavras por espaço

E criar uma lista de possíveis nomes e sobrenomes, caso entenda-se que o formato do e-mail do alvo envolva esses dados Pode-se então criar a planilha com a estrutura: coluna nome, coluna sobrenome, coluna @, coluna dominio e uma coluna concatenando:

Já temos uma lista com 4 possíveis e-mails.

Para retirar a acentuação, pode-se remover manualmente ou usando substituição do excel ou por aqui:

https://www.4devs.com.br/remover_acentos_de_um_texto

Para quem não quiser fazer um processo manual e estiver buscando uma ferramenta que ajude, tem essas duas:

https://phantombuster.com/automations/linkedin/3295/linkedin-company-employees-export

https://chromewebstore.google.com/detail/company-employees-export/lamfphejfohdnnkhfcmhholhkffkeblb

Ferramentas para buscar e-mails

Algumas ferramentas para buscar emails vazados e aumentar consideravelmente a base de e-mails:

https://phonebook.cz

O phonebook é uma ferramenta muito boa e totalmente gratuita. É necessário criar uma conta e estar logado para realizar uma busca. Além de buscar endereços de e-mail, ele também permite buscar URLs e dominios.

O hunter io também é uma boa ferramenta mas o acesso é limitado demais na versão gratuita.

https://hunter.io

Algumas outras ferramentas que valem a pena serem olhadas:

https://www.maltego.com

https://rocketreach.co

https://finder.io

Validando e-mail

Caso o alvo utilize ambiente Office365, que é um dos mais comuns, existe uma técnica que não gera praticamente logs onde é possível enumerar quais e-mails são válidos. Para isso eu desenvolvi um script para ajudar nesta tarefa que pode ser obtido no meu github:

https://github.com/piffaretti/o365_EmailValidator

Para quem quiser entender o processo por trás do script, a microsoft permite validar e-mails na rota:

https://<tenantname>-my.sharepoint.com/personal/<your user name>/_layouts/15/onedrive.aspx

Se você fizer um curl para essa rota e ele retornar 403, o email existe, se retornar 402 não existe. No lugar do <your user name> é o e-mail que está tentando validar, porém substituindo os pontos e os arrobas por underline, exemplo:

maria.flores@emprestateste.com.br

ficaria neste caso: maria_flores_empresateste_com_br

Outro serviço que pode ser usado para verificar emails e neste caso serve para qualquer provedor é o:

https://hunter.io/verify

Algumas outras ferramentas interessantes:

https://github.com/laramies/theHarvester

https://github.com/sharsil/mailcat

Análise do relatório global de riscos e cybersegurança 2024 do fórum mundial econômico

Diego PiffarettiDeixe um comentário

Olá caros leitores. Irei neste post analisar com o olhar focado em segurança da informação dois relatórios de 2024 do Fórum Econômico Mundial: O Global Risks Report 2024 e o Global Cybersecurity Outlook 2024.

O Global Risks Report (Relatório de Riscos Globais) é uma publicação anual elaborada pelo Fórum Econômico Mundial (World Economic Forum – WEF). Este relatório destaca e analisa os riscos globais percebidos como mais relevantes para a comunidade internacional, englobando questões econômicas, sociais, ambientais e geopolíticas.

O Global Risks Report identifica ameaças emergentes, examina sua interconexão e impacto potencial. Ele categoriza os riscos em diferentes dimensões, como econômica, ambiental, tecnológica, geopolítica e social. Além disso, o relatório geralmente destaca tendências e desafios emergentes que podem afetar a estabilidade global e o desenvolvimento sustentável.

Já o Global Cybersecurity Outlook (Relatório de Perspectiva global de segurança cibernética) do Fórum Económico Mundial, produzido em colaboração com a Accenture, examina as tendências de cibersegurança que afetarão as economias e as sociedades no próximo ano. O relatório destaca as principais conclusões e informa a crescente desigualdade cibernética e o profundo impacto das tecnologias emergentes.

Global Risks Report 2024

A 19a edição do relatório explora alguns dos riscos mais graves que podemos enfrentar na próxima década. Esta edição do relatório ocorre em meio a uma rápida aceleração de mudança tecnológica e incerteza econômica, enquanto o mundo é assolado por uma dupla de crises perigosas: climáticas e de conflitos. Tensões geopolíticas combinadas com o surgimento de hostilidades ativas em várias regiões, estão contribuindo para uma ordem global instável. Isso deixa espaço para riscos cada vez mais acelerados.

O futuro não está definido. Uma multiplicidade de futuros diferentes é concebível na próxima década. Embora isso gere incerteza a curto prazo, também permite espaço para a esperança. Ao lado dos riscos globais e das mudanças definidoras da era em andamento, existem oportunidades únicas para reconstruir confiança, otimismo e resiliência em nossas instituições e sociedades.

Desinformação insegurança cibernética aparecem entre os 5 maiores riscos ao planeta para os próximos 2 anos. Além deles, resultados adversos proveninetes das tecnologias de I.A também figuram entre os 10 maiores riscos nos próximos 10 anos.

Abaixo seguem os top 5 riscos que devemos preocupar/priorizar nos próximos 2 anos:

A porcentagem nos gráficos se refere a quantidade de respontes que elejeram o tema como primordial. Chama atenção Cyberattacks dispontando no top 5, se comparado com o relatório de 2023 em que esse assunto estava no top 10, ocupando a 8a posição. Isso reforça o quanto esse tema tem ganhado relevância no mundo.

Abaixo a lista dos top 10 riscos, porém em um olhar para os próximos 10 anos:

Vejam que o assunto Cyber aparece no top 10, ocupando a 8a posição, mesmo num olhar para uma década a frente.

Ataques cibernéticos (39%) é uma das principais preocupações nas perspectivas globais e aparece como uma das três principais preocupações para respondentes do governo e do sector privado, respectivamente. Para analisar os riscos, em uma visão de 2 anos, eleitos por grupos distintos que responderam, segue abaixo uma imagem que ilustra essa visão:

Mesmo nos mais diversos grupos respondentes, cybersegurança aparece em todos.

O relatório também destaca que a IA aumentará as capacidades de guerra cibernética, permitindo sistemas ofensivos e defensivos que poderão agir de forma autónoma, com impactos imprevisíveis nas redes e infraestruturas conectadas. Quando se trata de guerra cinética, as potências globais e regionais investiram pesadamente no desenvolvimento de sistemas de armas baseados em IA, e o grau de autonomia concedido a estes está aumentando: armas terrestres, aéreas e marítimas já podem realizar vigilância sem intervenção humana.

Paralelamente, a rápida integração de tecnologias avançadas está expondo uma parcela mais ampla da população global a possíveis explorações digitais e físicas. Redes de crime organizado adotarão cada vez mais modelos de negócios combinados, utilizando novas tecnologias para diversificar seus crimes.

Novas ferramentas e capacidades abrirão novos mercados para redes criminosas, com o cibercrime oferecendo uma fonte de receita cada vez mais de baixo risco e baixo custo para o crime organizado. Ataques de phishing, por exemplo, agora podem ser facilmente e precisamente traduzidos para idiomas minoritários usando inteligência artificial generativa. Ao longo dos próximos anos, defesas cibernéticas mais sofisticadas deslocarão os alvos para indivíduos com menor alfabetização digital ou infraestruturas e sistemas menos seguros. Já predominante na América Latina, o cibercrime continuará a se espalhar para partes da Ásia e do Oeste e Sul da África, à medida que a prosperidade cresce e a conectividade à internet leva grandes porções da população global online.

Global Cybersecurity Outlook 2024

Em meio a um cenário complexo, a economia de cibersegurança cresceu exponencialmente mais rápido do que a economia global como um todo, superando o crescimento no setor de tecnologia. No entanto, muitas organizações e países experimentaram esse crescimento de maneiras excepcionalmente diferentes.

Uma divisão acentuada entre organizações ciberneticamente resilientes e aquelas que enfrentam dificuldades emergiu. Essa clara disparidade na equidade cibernética é exacerbada pelas características do cenário de ameaças, tendências macroeconômicas, regulamentação da indústria e a adoção inicial de tecnologias transformadoras por algumas organizações. Outras barreiras claras, incluindo o aumento do custo de acesso a serviços, ferramentas, habilidades e expertise cibernéticas inovadoras, continuam a influenciar a capacidade do ecossistema global de construir um ciberespaço mais seguro diante de inúmeras transições. Apesar dessa divisão, muitas organizações indicam progresso claro em certos aspectos de suas capacidades cibernéticas. O panorama deste ano também encontra razões para otimismo, especialmente ao considerar a relação entre executivos de cibersegurança e de negócios.

Estas são as principais conclusões do relatório deste ano e as principais
tendências cibernéticas que os executivos precisarão navegar em 2024:

·      Há uma crescente desigualdade cibernética entre organizações que são resilientes a ataques cibernéticos e aquelas que não o são.

·   Tecnologias emergentes irão agravar os desafios de longa data relacionados à resiliência cibernética.

·    A escassez de habilidades e talentos em cibersegurança continua a se expandir a uma taxa alarmante.

·     A alinhamento entre cibersegurança e negócios está se tornando mais comum.

·     O risco no ecossistema cibernético está se tornando mais problemático.

Quando perguntando aos executivos: Nos próximos dois anos, a IA generativa proporcionará vantagens cibernéticas gerais aos atacantes ou defensores? Quase 55,9% responderam que irá propor mais vantagens aos atacantes.

93% dos líderes de organizações com excelência em resiliência cibernética confiam no seu CEO para falar externamente sobre o seu risco cibernético.

O relatório também destaca os seguintes temas:

  • Uso de fakenews automatizada
  • Deepfakes
  • Publicidade direcionada
  • Preocupações com a privacidade de dados
  • Manipulação algorítmica de mídias sociais

Os mesmos vetores de ataque que têm sido empregados por cibercriminosos continuam a ser utilizados; no entanto, novas tecnologias abrem caminho para atividades nefastas. Chatbots que usam inteligência artificial generativa tornam muito mais fácil para cibercriminosos criar e-mails de phishing e desenvolver malware personalizado. Embora chatbots comerciais populares tenham censuras incorporadas e controles proativos para evitar abusos, cibercriminosos estão adotando grandes modelos de linguagem para criar serviços maliciosos baseados em assinaturas. Chatbots como o FraudGPT e WormGPT estão reduzindo as habilidades necessárias para realizar campanhas complexas e convincentes.

Cooperação e colaboração devem ser os fatores-chave no aprimoramento da segurança cibernética e resiliência das organizações.

Previsões para a cibersegurança em 2024

Diego PiffarettiDeixe um comentário

Eu costumeiramente trago previsões de cyber no começo do ano. Eu sempre uso o Gartner como base, mas dessa vez fiz diferente e me basiei no relatório que o Google fez, o Google Cybersecurity Forecast 2024.

A tecnologia avança, as ameaças evoluem, os invasores mudam suas táticas e técnicas
e procedimentos (TTPs), e as empresas precisam se adaptar se quiserem acompanhar. Uma aposta minha de cara é que vamos ver muitos golpes esse ano em redes sociais e whatsapp usando voz clonada ou videos feitos com I.A tentando convencer ainda mais as vitimas. Mas agora sem mais delongas, vamos as previsões de cyber para 2024 que eu gostaria de destacar:

Phishings cada vez mais aprimorados, profissionais e escalonados

A inteligência artificial generativa e os grandes modelos de linguagem (LLMs) estão destinados a serem empregados em atividades de phishing, SMS e outras formas de engenharia social, com o objetivo de aprimorar a autenticidade do conteúdo e do material, incluindo voz e vídeo. Além disso, os LLMs terão a capacidade de traduzir e aprimorar traduções, aumentando a dificuldade de os usuários identificarem tentativas de phishing com base no texto utilizado.

Esses LLMs permitirão que invasores manipulem conteúdos legítimos, gerando versões modificadas que mantêm a aparência, fluidez e leitura do conteudo original. Usando a IA, os invasores também poderão executar essas campanhas em larga escala. Ao obter acesso a informações como nomes, organizações, cargos, departamentos e até dados de saúde, um invasor poderá direcionar um grande número de pessoas com e-mails altamente personalizados, convincentes e aparentemente pessoais.

Operações Escalaveis – Fake news

Um prompt inteligente de IA generativa pode ser o suficiente para que invasores criem notícias falsas, chamadas telefônicas simuladas interativas e conteúdos falsos em fotos e vídeos, todos gerados por IA. Essas operações podem infiltrar-se cada vez mais no ciclo de notícias. Com a expansão dessas atividades de desinformação, surge o perigo de erodir a confiança do público nas notícias e informações online, levando as pessoas a se tornarem mais céticas ou até mesmo perderem a confiança no que veem e leem.

Essa tendência pode complicar a interação entre empresas, governos e seus públicos no futuro próximo. Adversários já estão explorando a IA generativa, e é esperado que o uso dessas ferramentas aumente ao longo do tempo.

Gen AI e LLMs como serviço

LLMs e outras ferramentas de geração de IA serão cada vez mais desenvolvidas e oferecidas como um serviço para ajudar os invasores com comprometimentos de alvos. Eles serão oferecidos em fóruns clandestinos como um serviço pago e usados para diversos fins, como campanhas de phishing e disseminação de desinformação.
Já vimos invasores terem sucesso com outras ofertas clandestinas como serviço, incluindo ransomware usado em operações de crimes cibernéticos.

Defesas sendo também aprimoradas

os times de Threat Intel, SOC, CSIRT, o blue team no geral, irão empregar a inteligência artificial (IA) e tecnologias correlatas para reforçar a detecção, resposta e atribuição de adversários em grande escala, além de acelerar tarefas demoradas, como engenharia reversa de malware. Um importante cenário de uso da IA será a orientação das organizações na síntese e contextualização de grandes volumes de dados em inteligência de ameaças, permitindo a geração de detecções acionáveis e outras análises. Prevê-se que em 2024, a IA e a geração de IA capacitarão os profissionais a ampliar sua capacidade analítica e inferir ações apropriadas a partir desses extensos conjuntos de dados.

Essa transformação representa um dos maiores avanços para as organizações que utilizam a IA para fins de segurança nos próximos anos, auxiliando na redução da carga de trabalho, na gestão da sobrecarga de ameaças e na mitigação da crescente escassez de talentos.

Uso contínuo de vulnerabilidades zero-day

Desde 2012, temos observado um aumento significativo no uso de vulnerabilidades de dia zero, e 2023 está a caminho de superar o recorde estabelecido em 2021. Projetamos um aumento contínuo no uso de dia zero em 2024, tanto por invasores de estados-nação quanto por grupos cybercriminosos. Uma razão para essa tendência é a busca dos invasores por manter acesso persistente ao ambiente por períodos prolongados, explorando vulnerabilidades de dia zero, incluindo dispositivos de borda, para estender esse acesso. Isso contrasta com métodos convencionais, como phishing e implantação de malware, que podem ser mais prontamente detectados por equipes e soluções de segurança. Os invasores buscam alternativas, e dispositivos de borda e software de virtualização tornam-se particularmente atrativos por serem difíceis de monitorar. Os criminosos cibernéticos reconhecem que o uso de vulnerabilidades de dia zero pode aumentar o número de vítimas, contribuindo para eventos recentes de extorsão em massa, onde organizações são mais propensas a pagar altos valores em resgates ou extorsões.

Ascensão do hacktivismo

Em 2022 e 2023, observamos um ressurgimento no volume de atividades hacktivistas, especialmente associadas a atores expressando apoio à Rússia ou Ucrânia durante a invasão russa em curso. Da mesma forma, o recente conflito entre Hamas e Israel foi acompanhado por uma intensificação da atividade hacktivista. A atividade observada inclui ataques de negação de serviço distribuído (DDoS), vazamentos de dados e desfigurações. Destaca-se que, em ambos os contextos, a empresa Mandiant está monitorando grupos ostensivos de hacktivistas que demonstram habilidades acima da média e alinhamento significativo com narrativas e objetivos do estado que afirmam apoiar.

Ataques direcionados a ambientes híbridos e multicloud amadurecem e se tornam mais impactantes

Em 2023, a Mandiant colaborou com a VMware para remediar uma vulnerabilidade de dia zero que permitia ao atacante executar código em máquinas virtuais (VMs) de hóspedes. Embora o impacto dessa vulnerabilidade tenha sido limitado a um único hipervisor, demonstrou que atores ameaçadores estavam direcionando os ataques aos ambientes de nuvem em busca de maneiras de estabelecer persistência e se movimentar lateralmente. Em 2024, veremos essas técnicas evoluírem para ultrapassar fronteiras entre ambientes de nuvem. Os atores ameaçadores buscarão explorar configurações incorretas e questões de identidade para se moverem lateralmente entre diferentes ambientes de nuvem.

Serviços servless na nuvem serão mais usados por atacantes

Em 2023, observamos um aumento na implementação de criptomineradores em infraestruturas serverless. Para 2024, prevemos que criminosos cibernéticos e operadores cibernéticos utilizarão mais intensamente as tecnologias serverless na nuvem. Os atacantes migrarão para o serverless pelos mesmos motivos pelos quais os desenvolvedores estão adotando essa abordagem; ela proporciona maior escalabilidade, flexibilidade e pode ser implementada usando ferramentas automatizadas.

As operações de extorsão continuam

Operações de extorsão continuam sendo provavelmente a forma mais impactante de crime cibernético para empresas e sociedades em todo o mundo. Apesar de uma estagnação no crescimento durante 2022, anúncios de dados roubados e estimativas de receita de extorsão indicam que essa ameaça está crescendo em 2023, e prevemos que esse crescimento continuará em 2024.

Espionagem e “botnets adormecidas”

Grupos de espionagem criarão “botnets adormecidos” a partir de dispositivos vulneráveis da Internet das Coisas, pequenos escritórios domésticos (SOHO) e dispositivos e roteadores no final de sua vida útil, utilizando uma mistura de exploits antigos e novos. Essas “botnets adormecidas” serão utilizadas conforme necessário e descartadas uma vez detectadas ou não mais úteis, dificultando os esforços de rastreamento e atribuição de atividades. Essas “botnets adormecidas” serão diferentes das botnets tradicionais, nas quais o número de dispositivos era usado para amplificar ataques, como ataques DDoS.

Renascimento de técnicas antigas

Prevemos que, além de incorporar novas técnicas evasivas, alguns atacantes recorrerão a técnicas mais antigas que receberam pouca atenção. Exemplos incluem o uso de funções SystemFunction não documentadas e uma técnica anti-máquina virtual (anti-VM) detalhada em um livro de análise de malware de 2012. Essas práticas, anteriormente menos conhecidas, podem ressurgir como estratégias eficazes de evasão de detecção.

Ataques à cadeia de suprimentos por meio de gerenciadores de pacotes de software

Ataques à cadeia de fornecimento contra o NPM(node JS) destacam a ameaça aos desenvolvedores, onde pacotes maliciosos podem comprometer o código-fonte. Esses ataques de baixo custo e alto impacto tendem a aumentar, especialmente em gerenciadores de pacotes menos monitorados como PyPI. A vigilância na monitorização dessas fontes de bibliotecas de software é essencial.

Prevalência crescente do crime cibernético via celular

Em 2024, prevemos que os cibercriminosos ou golpistas continuarão a empregar novas táticas de engenharia social, como a simulação de serviços de ajuda doméstica, mensagens de contas falsas de redes sociais, bancos ou funcionários do governo, e alertas pop-up falsificados para induzir as vítimas a instalar aplicativos maliciosos em seus computadores.

Conclusão


Embora as novas tecnologias ajudem as equipes de segurança, elas também poderão expandir a superfície de ataque. Em 2024, o mundo em rápida evolução da geração de IA proporcionará aos atacantes novas formas de conduzir campanhas de phishing convincentes e operações em grande escala. No entanto, os defensores usarão as mesmas tecnologias para fortalecer a detecção e
resposta e, de forma mais ampla, reduzir o trabalho árduo, abordar a sobrecarga de ameaças e superar a crescente lacuna de competências.

Golpe falso emprego digital

Diego PiffarettiDeixe um comentário

Um golpe que não é novo, mas veio com força principalmente agora em agosto de 2023, é o de contatos via WhatsApp e Telegram prometendo falsos empregos na internet, bastando fazer tarefas simples como seguir perfis ou avaliar empresas com 5 estrelas no Google e em troca ter ganhos por dia.

Recebi de alguns colegas, e eu mesmo recebi no meu telefone contatos referente a esse golpe. Decidi seguir toda a cadeia do golpe e entender como funciona e explicar aqui para que ninguém caia.

O golpe começa com um contato normalmente de números de fora do Brasil, via whatsapp, seguem alguns prints:

Alguns amigos me mandaram print de outros contatos mas que no final levam ao mesmo golpe:

No meu caso, eu recebi o da pesquisa, respondi a pesquisa, conforme print abaixo:

Vejam que ele indica adicionar um contato no telegram para receber os 20 reais.

Adicionei o contato, e de fato recebi um PIX de 20 reais!

Ao falar com a suposta “recepcionista” no telegram, a mesma solicita mais alguns dados prometendo me depositar 20 reais:

Para a minha surpresa, de fato recebi uns 5 minutos depois um PIX no valor de 20 reais:

Como eu tinha o nome completo de quem fez o deposito, puxei os dados em uma base vazada. Era uma morada de periferia, neste tipo de golpe é comum utilizar contas laranjas.

Logo em seguida essa recepcionista no telegram me oferece mais “trabalhos”, com uma promessa de que eu ganharia muito mais. Essas eram as tarefas:

Vejam que existem 12 tarefas por dia. Todas com horário. Algumas estão escrito Tarefa pré-paga. É ai que está o golpe, vocês irão entender na sequência. Outro ponto que chama atenção que é tudo muito bem organizado e bem feito.

Disse que queria participar e então recebi a tarefa 3, por conta do horário. A tal “recepcionista” me inseriu em um grupo de Telegram, que tinha em torno de umas 1800 pessoas. Não tenho print, pois fui removido e não tirei evidência a tempo. Mas posso afirmar que a grande maioria do grupo são bots, que interagem e escrevem em português, como se estivessem fazendo as tarefas e recebendo dinheiro. Mas também haviam outras vitimas no grupo. Ao terminar a tarefa 3, que valia 10 reais, a recepcionista me avisou que ela só paga quando acumulo 20 reais. Chegou então depois a tarefa 4, que também era de seguir 3 perfis no Instagram, eu fiz, e recebi mais um PIX de 20 reais, no mesmo nome do pix anterior.

Quando chegou a tarefa 5, que é uma tarefa PRÉ PAGA, a recepcionista então em explicou o seguinte:

Eu deveria investir uma destas quantias e receber os referentes lucros da tabela. Mas que eu poderia receber de 2 a 5 pedidos de investimento, com valores “sorteados”. Se eu desistisse no meio do caminho, eu perderia tudo. Falei que queria fazer o de 100 reais. A recepcionista então me mandou eu me cadastrar em uma plataforma que e

https://paradigmsvip.com/

Neste portal para eu me cadastrar eu deveria inserir o Código de convite 753610

Realizado o cadastro, feito o PIX de 100 reais para um chave que ela me informou, apareceu de fato 100 reais de credito na plataforma. Ela pede então que eu adicione um outro contato no telegram, que seria um professor de investimento. Esse “professor” me instrui a pegar os 100 reais, comprar bitcoin e setar algumas configurações e esperar 1 min. Após feito os passos que ele pede, os 100 reais viraram 130 reais na plataforma.

Ele avisa então que o algoritmo dele sorteou mais uma segunda operação, e o valor dos investimentos mudam. O mais baixo é 350 reais. Falei que queria o mais baixo, já arriscando a perder nessa altura 100+350 (450) reais. Fiz o deposito, ele me instruiu a fazer um novo investimento e no final investi 450 e eles viraram 1066 na plataforma. Como mencionei, a plataforma imita muito day trade:

Ele disse que aquela rodada se encerraria com 2 investimentos apenas. E para minha surpresa recebi um PIX de 1066:

Depois veio mais algumas tarefas de 10 reais, continuei fazendo e nisso continuei recebendo pix de 20 reais ao acumular duas tarefas e veio mais uma tarefa pre paga. A recepcionista disse que é obrigado a fazer a pre paga para continuar nas de 10 reais, que você não pode pular tarefas. Ela ainda explica que quem trabalha bem, fazendo tudo, ainda aumento mais ainda os ganhos conforme esta imagem:

Resolvi fazer essa nova tarefa pre paga e fiz o pagamento de 100 reais novamente, viraram 130. O professor avisa que vai ter uma segunda rodada, e aparece agora um investimento que começa em 6 mil reais o mais baixo, prometendo ao final virar quase 20 mil. Obviamente parei ai. Fui no grupo do telegram, e consegui achar um usuário que tinha escrito no grupo que havia sofrido golpe, mas um bot rapidamente apagou a mensagem, foi tempo suficiente para eu ver e chamar no privado. Ele me relatou o que eu já sabia, que em uma dada rodada ele depositou um valor de 4 mil, para receber 25 mil que o suposto “professor” fez ele ganhar, e ai o dinheiro dele sumiu da plataforma e o contato bloqueou ele.

Eu me dei bem no final das contas, recebi um dinheiro pois sai do golpe na hora certa. Mas eu achei sinceramente o golpe extremamente bem feito. Eu mesmo sendo profissional de segurança, sentia vontade de continuar no esquema, pois tudo parecia muito fácil e funcional, recebendo de fato as transferências. Além de ser tudo muito organizado, as recepcionistas atenciosas, as artes feitas para as tarefas bem organizadas. O grupo os usuários escrevem lá de forma organizada também, com vários prints de que eles estavam recebendo o pagamento. Tudo fake.

Acredito que esse golpe vai vim com tudo e muita gente vá cair e por isso resolvi escrever esse post. Cuidado pessoal, em primeiro lugar não recomendo que ninguém tente o que eu tentei, e que bloqueie imediatamente contatos que venham com falsos ganhos em seu whatsapp. Não existe dinheiro fácil, o que vem fácil vai fácil. O deposito de maior valor que eu recebi, veio em nome de uma empresa (Kendo serviços digitais) que ao pesquisar vi já inúmeras reclamações no reclame aqui de golpe:

https://www.reclameaqui.com.br/empresa/kendo-servicos-digitais/

Lendo os relatos, descobri que além dessa fraude que eu contei aqui, eles tem alguma plataforma de jogo que aplica golpes também.

Fiquem atentos galera!

Como descobrir que alguém te citou na internet

Diego PiffarettiDeixe um comentário

Atualmente tenho feito diversas palestras, podcasts e em uma dessas participações acabei recebendo um alerta no meu e-mail, que eu havia configurado anos atrás, não me lembrava mais, mas basicamente dizia que meu nome tinha cito citado em um site. Olhando o alerta, era relacionado a um podcast que eu gravei em parceria com a Microsoft e a Rádio CBN. Percebi que esse alerta é super útil e serve tanto para quando seu nome for citado, mas também para qualquer termo, como por exemplo, “pentest”.

Para configurar o alerta, basta ir no Google Alertas, acessado pela página: https://google.com/alerts

Na página digite o termo desejado e clique em “Criar Alerta”.

Depois de criado o alerta, qualquer pessoa que cite o termo digitado na internet, você receberá um aviso por e-mail. No meu caso que eu configurei meu nome, facilita um pouco pois eu tenho um sobrenome pouco comum, então sejam criteriosos no caso de optarem no monitoramento de termos que gerem muitos conteúdos.

O alerta chega no e-mail no seguinte formato:

Espero que tenham gostado da dica!

Tecnologias que irão se destacar em 2022

Diego PiffarettiDeixe um comentário

Todo ano, o Gartner lança um relatório que identifica tendências tecnológicas críticas para os negócios. O material produzido pela consultoria global lança os holofotes para os pontos que considera mais relevantes para o mercado. Este ano, doze tendências estratégicas são consideradas fundamentais para 2022, permitindo aos CEOs entregarem crescimento, digitalização e eficiência e posicionando CIOs e executivos de TI como parceiros estratégicos na organização.

Vale destacar que a tecnologia segue trabalhando em benefício da sociedade, criando soluções inovadoras para viabilizar empregos remotos e levar soluções para os seus clientes.

Conheçam as 12 tendências apontadas pelo Gartner:

1 – Data Fabric

O termo Data Fabric pode ser visto como uma arquitetura e um pacote de serviços de dados capazes de fornecer recursos consistentes em ambientes multicloud. A robusta arquitetura padroniza as práticas de gerenciamento de dados na nuvem, on-premise e em dispositivos de borda. Podemos destacar como vantagens da Data Fabric a visibilidade e geração de insights, acesso e controle, proteção e segurança dos dados. O Objetivo é oferecer uma integração eficiente e flexível de fontes de dados entre plataformas e usuários de negócios, tornando os dados disponíveis em qualquer lugar que forem necessários.

2 – Malha de segurança cibernética (Cybersecurity Mesh)

A malha de segurança cibernética é uma arquitetura flexível, capaz de integrar serviços de segurança amplamente distribuídos e diferentes.

Essa arquitetura permite que as melhores soluções de segurança autônomas trabalhem juntas para melhorar a segurança geral enquanto aproxima os pontos de controle dos ativos que eles foram projetados para proteger. Ele pode verificar de forma rápida e confiável a identidade, o contexto e a aderência à política em ambientes em nuvem.

3 – Computação com aprimoramento de privacidade (Privacy-Enhancing Computation)

A computação com aprimoramento de privacidade protege o processamento de dados pessoais em ambientes não confiáveis ​, fator cada vez mais crítico devido à evolução das leis de privacidade e proteção de dados, bem como às crescentes preocupações dos usuários.

O foco em uma computação que promove a privacidade utiliza uma variedade de técnicas de proteção da privacidade para permitir que o valor seja extraído dos dados, ao mesmo tempo que atende aos requisitos de conformidade.

4 – Plataformas cloud native (Cloud-Native Platforms)

As plataformas cloud native são tecnologias que permitem construir novas arquiteturas de aplicações resilientes, elásticas e ágeis. Dessa forma, é possível responder e se adaptar a qualquer à diversas situações dentro do mundo digital.

As plataformas cloud native aprimoram a abordagem tradicional de migração de uma estrutura para a nuvem, que por muitas vezes resulta em um processo não eficiente e falha em aproveitar os benefícios da computação em nuvem e adiciona complexidade à manutenção.

5 – Aplicações compositivas (Composable Applications)

Aplicações combináveis são desenvolvidas a partir de componentes modulares centrados nos negócios.

As aplicações combináveis ​​facilitam o uso e a reutilização do código, acelerando o tempo de colocação no mercado de novas soluções de software e liberando valor corporativo.

6 – Inteligência de Decisão (Decision Intelligence)

A inteligência de decisão é uma abordagem com o objetivo de melhorar a tomada de decisão organizacional, sendo parte fundamental no processo de Transformação Digital. Ele modela cada decisão como um conjunto de processos, usando inteligência e análises para informar, aprender e refinar as decisões.

A inteligência de decisão pode ser um braço direito para ajudar os humanos a tomarem as suas decisões e, potencialmente, automatizá-las por meio do uso de análises aumentadas, simulações e IA.

7 – Hiper automação (Hyperautomation)

A hiper automação é uma abordagem de negócios desenvolvida para identificar, examinar e automatizar rapidamente o maior número possível de processos de negócios e TI.

Essa abordagem permite escalabilidade, operação remota e interrupção do modelo de negócios. Trata-se da automação de qualquer processo empresarial que combina RPA (Automação de Processos Robóticos) e outras tecnologias como Inteligência Artificial.

8 – Engenharia de IA (AI Engineering)

A engenharia de IA automatiza atualizações de dados, modelos e aplicações para agilizar a entrega de uma solução IA. Combinado com uma forte governança de IA, essa prática poderá operacionalizar a entrega de IA para garantir seu valor de negócios contínuo.

9 – Empresas Distribuídas (Distributed Enterprises)

As empresas distribuídas refletem um modelo de negócios digital-first, remote-first para melhorar as experiências dos funcionários, digitalizar os pontos de contato do consumidor e do parceiro e construir experiências de produto.

As empresas distribuídas atendem melhor às necessidades de funcionários e consumidores remotos, que estão aumentando a demanda por serviços virtuais e locais de trabalho híbridos.

10 – Experiência Total (Total Experience)

A experiência total é uma estratégia de negócios que integra a experiência do funcionário, do cliente e do usuário. Essa estratégia agrega multi experiência em vários pontos de contato para acelerar o crescimento.

A experiência total pode gerar maior confiança, satisfação, lealdade e defesa de clientes e funcionários por meio do gerenciamento holístico das experiências das partes interessadas.

11 – Sistemas autônomos (Autonomic Systems)

Os sistemas autônomos são sistemas físicos ou de software autogerenciados que aprendem com seus ambientes e modificam dinamicamente seus próprios algoritmos em tempo real para otimizar seu comportamento em ecossistemas complexos.

Os sistemas autônomos criam um conjunto ágil de recursos de tecnologia que são capazes de suportar novos requisitos e situações, otimizar o desempenho e defender contra ataques sem intervenção humana.

12 – IA geradora (Generative AI)

A IA generativa aprende sobre artefatos a partir de dados e gera novas criações inovadoras que são semelhantes ao original, mas não o repetem.

A IA generativa tem o potencial de criar novas formas de conteúdo criativo, como vídeo, e acelerar os ciclos de P&D em campos que vão da medicina à criação de produtos.

Conclusão

De acordo com Gartner, essas tendências tecnológicas estratégicas irão acelerar as capacidades digitais e direcionar o crescimento, resolvendo desafios comuns de negócios para CIOs e executivos de tecnologia.

Quem quiser assistir na integra o vídeo da Gartner que fala sobre essas 12 tendências, clique aqui

Sem categoria

Custo de violação de dados em 2021

Diego PiffarettiDeixe um comentário

Muitas empresas se perguntam, se alguém me “hackear”, podem obter todos os dados, mas … o que estou perdendo?

Devemos explicar que uma violação de dados revela que a segurança de sua empresa (completa) está em risco E estes “vazamentos” são evidências, basicamente, que a segurança que você está usando em sua infra-estrutura, aplicação, etc, não está adequada.

Voltando a pergunta “o que estou perdendo?”, podemos em linhas gerais citar:

  • Perda de confiança e reputação (danos a imagem)
    • Você expõe ao mercado que sua organização não tem uma boa segurança.
    • Eles podem fazer de novo quando quiserem, lembre-se que você não sabe como eles fizeram e eles vão tentar deixar o mínimo de pistas possível!
    • Os dados extraídos dos vazamentos podem ser usados ​​para atacar usuários em outras plataformas.
    • Se for uma empresa que fornece serviços e o ataque compromete a entrega/prestação desse serviço, a reputação da empresa para novos contratos ou até mesmo manter os atuais podera estar ameaçada
    • A cada dia produz mais medo saber que um grupo ou organização criminosa é dona dos seus dados, pois, com eles, pode comprometer a sua economia e o seu bem-estar. (Lembre-se que esses dados são vendidos ou transferidos para outras entidades para serem exploradas, na forma de SPAM, campanhas de phishing, roubo, etc.)
  • Perdas econômicas diretas
    • Cai o serviço que você oferece.
    • Custo de restabelecimento do serviço, aqui incluo o que vem em alta que é o pagamento de resgate em casos de Ransomware, vide exemplo da JBS que desembolsou a bagatela de 11 milhões de dólares para voltar a sua operação que foi afetada por Ransomware do grupo Revil
    • Possível compensação por reclamações de usuários.
    • Perdas econômicas derivadas do fato de os usuários não realizarem mais procedimentos por meio de sua plataforma. (Publicidade, assinaturas ..)
    • Leis de proteção de dados onde multas podem ser aplicadas no caso de vazamento
  • Perdas econômicas indiretas.
    • Pesquisa e investigação para determinar as falhas que causaram o vazamento.
    • Tempo investido para restabelecer os serviços + tempo investido para pesquisar e corrigir a falha de segurança (caso você a encontre).
    • Provavelmente o desdobramento exigirá um investimento que você não estava preparado seja com consultorias, seja com equipamentos/tecnologia para mitigar/reduzir o risco.

Com certeza uma coisa eu digo: Prevenir o incêndio custa muito menos que consertar o prédio que tá pegando fogo! Muitas empresas acabam não investindo em segurança e só pensam/investem no tema depois que ocorre um incidente.

A IBM gerou um relatório que possui diversas métricas interessantes. Agora respondendo em números a nossa pergunta, quanto estou perdendo, segundo o report da IBM o custo de um vazamento de informações é em média de 4,24 milhões de dólares. Já ataques de ramsomware tem um custo médio de 4.62 milhões de dólares.

Alguns dados relevantes do relatório:

  • O setor com o maior custo em termos de violação de dados é o de Serviços de Saúde .
  • 20% das violações de dados foram causadas por credenciais comprometidas e em segundo lugar 17% através de phishing
  • O número médio de dias necessários para encontrar a vulnerabilidade foi de 287 dias .
  • Empresas que não possuem automações e Inteligência Artificial em seus processos de segurança gastaram 80% a mais nos vazamentos

Segue o link do relatório: Relatório de custo de uma violação de dados da IBM

Ataque ao TSE 2018 – Análise na ótica de segurança

Diego PiffarettiDeixe um comentário

Recentemente foi disponibilizado os autos de investigação da PF da invasão ocorrida no TSE em abril de 2018.

Sem entrar em um discurso politico, me prendendo somente a temática de segurança da informação, analisei os detalhes do incidente que são contados no relatório e resolvi trazer pontos de lições aprendidas.

DOWNLOAD do documento

Resumo do ataque (bem resumo mesmo)

O documento inicia falando sobre comprometimento de um web server do Rio Grande do Norte e movimentação para servidores de outras regionais. Foram feitos diversos scans de rede, depois é citado a máquina da regional TRE-AP foi acessada com um usuário que deveria estar desativado e com senha de fácil dedução. O documento segue dizendo que houve a utilização de uma webshell para comprometer uma das máquinas. Também é mostrado um acesso a uma máquina utilizando o Teamviwer. O documento segue citando que o webshell foi instalado em outras máquinas. Em seguida é citado que existia uma VPN destinada a uma empresa de manutenção de centrais telefônicas. na sequencia, é falado sobre tentativas de acesso a portas Oracle e também de scans de rede focados nas portas 80, 443, 8080, 8081, 8180, 21 e 3389. Depois é citado que foram identificados ataques a procura de fragilidades no PHP. Na sequencia é falado sobre acesso ao ILO, software da HP para gerenciamento de máquinas.

Mais para frente o documento fala sobre obtenção de senhas que não eram triviais e de uma suspeita de obtenção da base do AD com posterior quebra das senhas. O atacante cita que obteve acesso por vários meses na infra do TSE e que ele percebeu nas trocas de e-mail que cortaram o acesso a VPN, porém ele manteve o acesso. Foi identificado um servidor que fazia a compilação do código fonte das urnas utilizando jenkins sem senha.

Lições

Diante do resumo que fiz acima, alguns pontos que podemos destacar como lições que podemos tomar na ótica de segurança:

Usuário legado – Importante sempre estar fazendo sanitizações em usuários locais e na base do AD. Se possível evitar a utilização de usuário local, já que é algo difícil de gerenciar. Aconselho utilizar em ambiente Windows o LAPS da Microsoft para gestão de usuários administradores locais e de suas credenciais. Além disso para o AD pode-se fazer buscas periódicas em atributos como de “lastlogon”, estipular um prazo que se adeque ao se negocio, mas uma sugestão seria algo em torno de 7 meses, já que podem ter mulheres grávidas que se afastam pelo período de 6 meses e emendam férias. Passado esse timming, pode-se criar algum tipo de script ou processo manual para bloqueio do usuário e movimentação para uma quarentena. Caso você tenha um poder ferramental ou investimentos, uma ferramenta de gestão de identidades conseguiria lidar bem com esse processo.

Senha de Fácil dedução – Senha seja ela fácil ou difícil, por si só é um conceito que não dá mas para ser usado como único fator. É importante que se utilize o conceito de duplo fator de autenticação. Uma recomendação é que minimamente sistemas externos tenham 100% implementado 2FA para autenticação. Contas de serviço/robôs e afins que não podem digitar um 2FA, podem entrar numa regra condicional com IP de origem bem amarrado para que somente essas exceções possam interagir externamente sem 2FA. Obviamente o ideal é ter 2FA em tudo, mas partindo de estratégias por etapas, acredito que essa parte de fechar bem os acessos e sistemas externos já seja uma boa estratégia.

Scan de rede – Este ponto é um que vejo uma dificuldade maior nas empresas em geral para mitigar. Minha sugestão que uma das coisas que pode jogar ao seu favor é o seu endpoint, isso mesmo seu antivírus. Existem muitas soluções de antivírus que possuem a feature de detectar e barrar scans de rede e que funcionam perfeitamente. Outro ponto, na verdade até mais adequado, é o próprio firewall com módulos de segurança corretamente configurados. Uma ferramenta de IPS/IDS também ajuda nesse assunto. Scans de rede devem ser permitidos somente de servidores com essa função, como por exemplo o pessoal de gestão de vulnerabilidades.

Webshell – Importante aqui alguns processos. Um deles é a realização constante de pentest que assegurem que não sejam possíveis de serem feitos upload de arquivos maliciosos. Outra camada importante de proteção é o próprio endpoint que deve ter a capacidade de detectar a inserção desse tipo de arquivo. WAF seria uma camada adicional que pode ajudar também nessa temática.

Teamviwer – Aqui a minha sugestão é: quais ferramentas de acesso remoto você permite em sua empresa? Depois de definido quais, em que redes você o permite? A utilização de ferramentas como essa se não forem bem implantadas trazem grande risco. Sugiro regras fortes de firewall bloqueando todas essas ferramentas e liberar somente em redes especificas, garantindo além disso que somente usuários com alto privilegio possa ter a capacidade de instalação em servidores e em estações também.

Software de gerenciamento de servidores – Tome cuidado com softwares como Ilo e IDRAC principalmente. O IDRAC é algo manjado em testes de invasão, onde a maioria dos atacantes vão tentar de cara a famosa senha padrão root-calvin. Se possível faça single sign on nessas plataformas e garanta um login corporativo com 2FA ou então minimamente certifique-se que nenhuma senha de fácil dedução ou padrão está sendo utilizada.

Base do AD – Neste ponto não foi claro que realmente houve obtenção da base do AD, até acho que podem ter sido utilizado outras técnicas como obtenção de senha em memória, já que quebra de senha exigiria tempo e se a sena fosse realmente muito boa como foi citado, exigiria bastante tempo. Existe também a possibilidade de obtenção da senha em texto claro nas famosas anotações, arquivos txt ou as famosas planilhas com diversas senhas anotadas. Se prendendo a temática de replicação da base do AD, aqui um ponto é que para tal ação é necessário ter um usuário Domain Admin. Um chefe meu me falou uma vez uma frase que eu tomo como um mantra: Domain Admin você tem que conseguir contar na palma de uma mão, se passar disso tem algo errado. Enterprise e Schema Admin então não deveria ter ninguém inserido nunca. Para isso siga muito estritamente o conceito de menor privilégio possível. Só se eleve quando necessário. Outra lição é , servidores de AD, devem ser estritamente protegidos, com acessos muito restrito e dificultados, de preferência com regras de acesso a nível de firewall bem restrita. Outra sugestão é, faça ao menos 1 vez ao ano ataques de força bruta contra a sua base! Eu já fiz um post sobre isso por aqui.

Outros pontos – Foi citado por exemplo uso de um jenkins aberto, importante que que o processo de gestão de vulnerabilidades seja efetivo e que sempre busque essas falhas, as que vejo mais comuns são FTP com acesso anônimo, telnet, RDP com guest habilitado, mongodb sem senha, ELK sem senha.

Também foi falado sobre uma VPN que foi utilizada, a qual era destinada a uma empresa terceira. Minha sugestão, quanto mais flores para cuidar mais complexo fica seu jardim! Menos as vezes é mais, no meu ponto de vista uma arquitetura bacana é uma VPN única para tudo com as devidas regras para cada publico que nela se conecta, assim você tem uma coisa só pra cuidar. Você vai ter regras específicas de acessos para funcionários, outras para administradores e outras para terceiros e demais.

Segregação de rede é muito importante, inclusive na temática de ransomware que tem crescido em larga escala, nesse tipo de ataque, segregação de rede é uma das grandes camadas de proteção. No caso do TSE uma segregação de rede mais adequada teria evitado ou pelo menos dificultado a movimentação lateral.

Outro ponto é resposta de incidentes efetiva. Foi citado que foi feito a derrubada da VPN mas que o acesso foi mantido pois não era por ali que o hacker estava entrando. Para isso é necessário como primeiro passo se investir em um time sólido e com conhecimento, além disso ter o ferramental adequado e logs além de um bom SIEM para uma boa analise e uma resposta rápida. Pessoas, processos e ferramentas, isso vale para tudo!

O conceito de jump server também merece ser citado. Pelo documento parece que houve muita movimentação lateral com acesso RDP direto de um lugar ao outro. Importante ter uma arquitetura com conceito de jump server, onde usuários só podem acessar a rede de servidores a partir de servidores específicos. Tendo investimento, ferramentas de gerenciamento de acessos são grandes aliados (EX: Cyberark ou senha segura).

Por último mas não menos importante: Tenha bons processos de gestão de vulnerabilidades e pentest implementados!

E por fim…

Meu intuito no post não é apontar defeitos na rede do TSE ou de sua equipe, mas sim a partir da analise do ocorrido o que podemos tirar de melhorias que outras empresas que tenham problemas parecidos possam refletir. Diversos pontos fiz explicações mais rápidas, mas é bom eu explicar que foi um resumo de ações, existem diversas outras estratégias que demandaria um texto muito longo.

CIS Controls V8 – Principais mudanças

Diego PiffarettiDeixe um comentário

Olá pessoal! Vou escrever brevemente sobre a nova versão do CIS v8, que foi lançada no mês de Maio/21

Fiz uma imagem que mostra as principais mudanças em relação ao seu antecessor, a versão V7:

O CIS Controls v8 foi aprimorado para acompanhar os sistemas e softwares modernos. As principais mudanças podem ser notadas no surgimento dos assuntos de computação baseada em nuvem, virtualização, mobilidade, terceirização, home office e mudanças nas táticas do invasor.

A versão 8 combina e consolida os controles CIS por atividades, em vez de por quem gerencia os dispositivos. Os controles agora são organizados por atividade versus como as coisas são gerenciadas.

Os esforços para simplificar os controles e organizá-los por atividade resultaram em menos controles e menos salvaguardas, na V7 eles chamavam de subcontroles, precisamos agora nos acostumr com essa nomeclatura salvaguarda!

Existem agora 18 controles de nível superior e 153 salvaguardas dispersas entre os três grupos de implementação que são os IGs

IG1 = higiene cibernética básica

O CIS Controls v8 define oficialmente o IG1 como higiene cibernética básica e representa um padrão mínimo emergente de segurança da informação para todas as empresas. IG1 (56 Salvaguardas) é um conjunto básico de Salvaguardas de defesa cibernética que todas as empresas devem aplicar para se proteger contra os ataques mais comuns.

IG2 (mais 74 salvaguardas) e IG3 (mais 23 salvaguardas) baseadas em IGs anteriores, com IG1 sendo a rampa de acesso aos controles e IG3 incluindo todas as salvaguardas para um total de 153.

CIS Controls Implementation Groups

Vou deixar abaixo está uma lista dos controles CIS na v8 e quantas salvaguardas em cada um são aplicáveis a cada grupo de implementação.

Para quem quiser ter mais detalhes do CIS controls V8 assim como baixar todas as suas ferramentas, segue o link:

CIS CONTROL V8

Sem categoria

Script para contar a quantidade de IPs em um ou vários ranges

Diego PiffarettiDeixe um comentário

Olá pessoal, dessa vez um post mais curtinho. Estou disponibilizando aqui um script em Python que lê uma lista de ranges de IP, um range por linha e conta quantos IPs tem ao total.

O script pode ser útil quando receber um escopo de IPs em um pentest ou em um scan de vulnerabilidades e quiser saber ao todo quantos IPs tem.

Link para o script:

https://github.com/piffaretti/contaip.py