CISSP – Como eu passei

cissp-logo-stacked

Fui aprovado no CISSP exatamente na data em que escrevo esta publicação em meu Blog.

Primeiramente quero agradecera DEUS que eu fiz muita reza para ele coitado, até no meio da prova! E a minha esposa que mesmo grávida, foi paciente comigo e me apoiou.

Fontes de estudos que utilizei

Videos:

Cybrary – videos gratuitos (sim, totalmente gratuito) – https://www.cybrary.it/course/cissp/

Videos da Skillset no youtube – grátis – https://www.youtube.com/channel/UC_SAXriJ73uF2l8d55G6mEA

Alguns videos do cbt nuggets – Não gostei, a voz do instrutor é irritante!

Alguns videos sobre temas e duvidas pontuais que ia procurando no youtube

Livros

Sybrex – 7 edição

Syngress 11 hour segunda edição

Bootcamp

Fiz um bootcamp pago pela empresa, foram 6 sabados, com o Jaime Ortis e Lugo, de SP. Foi um resumo do CBK com dicas da prova

Minhas considerações sobre material de estudo

O bootcamp do Jaime foi ótimo, excelente instrutor e recomendo para empresas ou ate mesmo particular a quem busca um instrutor. Eu sou bem auto didata, Jaime fez um excelente trabalho, fiz o bootcamp pois foi um investimento da empresa, mas caso não tenham o mesmo investimento e estejam querendo fazer a prova, ler o CBK com calma é o meu conselho. Eu como bom auto didata teria feito a prova mesmo sem o bootcamp, mas para quem não tem muito tempo ou quer ganhar tempo, recomendo fortemente.

Os videos da cybrary, esse foi o MELHOR material de todos! Recomendo fortemente. Assisti a TODOS os videos, fazendo anotações. o inglês da instrutora é Excelente, de fácil entendimento. Ela faz um resumo dos principais assuntos e da dicas da prova.

A Kelly Handerhan se eu pudesse encontrar com ela pessoalmente eu pagava um jantar! Não da nem para acreditar que é de graça! Foi uma das minhas principais fontes de estudos. Ficava entre 1 hora e 1 hora  e meia a mais no trabalho assistindo os videos. Em casa não tenho concentração. Vou explicar sobre tempo de estudo mais para frente.
Se fosse para aconselhar somente 1 livro, eu diria, esqueça o CBK! É muito grande, leitura pesada. Para mim o Sybex é o melhor livro para essa prova, que apesar de também ser grande, mas tem vários simulados e a leitura é muito agradável. Não li o livro inteiro, somente os pontos que tinha mais duvida, utilizei mais os simulados do livro.
Dicas extras:
Simulados gratis:
Não paguei por nenhum simulado, vejo muita gente pagando o CCECURE, não quis fazer esse investimento e utilizei tudo de graça e os livros que eu tinha. Os melhores simulados são os do livro do SYBAX, esses são os mais próximos da prova. Depois recomendo os do mhprofessional, que na verdade achei algumas perguntas bem difíceis e muitas vezes bem técnicas, como por exemplo quantos metros tem que ter uma cerca, ou em caso de neblina qual tipo de lampada deve ser usada (lampada de sódio por exemplo). Percebi que tinha muita questão ali que me deixou preocupado, mas depois percebi que muito dessas coisas não caem na prova.

Estrategia de estudo:

Bootcamp – 6 sabados – De Julho a Agosto

Videos Cybrary – de 1 a 1:30 por dia, de segunda a sexta, após expediente no trabalho (Acho que levei 1 mês e meio para ver todos os videos nesse esquema – Devo ter terminado no final de Setembro).Fiz muitas anotações. Foi disparado o melhor material que tive!

Até o Outubro não tinha feito nenhum simulado, e recomendo que façam assim, façam toda a teoria , leiam bastante, façam anotações, quando tiverem terminarem os materiais, vá para os simulados. Comecei com os Simulados do mhprofessional – Os simulados são separados por dominios. Fiz o primeiro e fiz um score horrível, acho que 55%. Nesse momento entrei em desespero, achei que tudo que investi em estudo estava indo por água abaixo e que precisava melhorar muito! Fiz outro e a nota foi tão ruim quanto

Ai decidi ver os Videos do Skillset – 1 hora e meia por dia, depois do expediente. Do meio de Outubro para frente, passei a usar TODOS os finais de semana e feriados para estudar também pois somente durante a semana não ia ser o suficiente,usava o dia inteiro nesses finais de semana e feriados! Não tive muita vida social. Algumas cervejinhas com amigos para descontrair na sexta a noite. Terminei bem rápido os videos da Skillset.Fiz mais anotações. Foi ai que peguei o livro do Sybax! Não façam como eu, recomendo que leia ele depois dos videos do Cybrary! Li o livro somente os pontos que era mais fraco. Chegou Novembro, e faltavam 25 dias para a minha prova! Desespero ia batendo!

Comecei os simulados do Sybax e no simulado geral, fiz 75%, deu um animo! Comecei a fazer os simulados por domínio e alguns fui horrível, outros mandei super bem! Mas aprendi bastante com os erros! Mas estava ainda preocupado, pois teve um dominio que eu cheguei a fazer 40% só. O de leis e regulamentos! Investi em estudar os pontos que não tinha segurança reelendo minhas anotações, procurando no sybax e vendo videos no Youtube.

Faltando 15 dias, peguei o mhprofessional e fiz vários simulados. Ainda assim fui ruim em alguns mas eram perguntas que eu sabia que não cairiam na prova, como comentei anteriormente.

Recomendo fortemente que leiam os relatos de quem passou no CISSP , deixei o link acima na parte do leia relatos.

A PROVA:

Tive de ir para SP fazer a prova! Infelizmente por algum motivo, a prova não está sendo mais aplicada no RJ.

Fiquei muito, muito nervoso no dia da prova, tive até dor de barriga rsrsrsrs 😛

Sinceramente, não sei por que eu estava tão nervoso com essa prova. Mas enfim, cheguei no local de prova com 30 minutos de antecedência.

Não pode entrar na prova com nada, nem garrafa de água. Fica tudo em um armário. No local tinha um fone daqueles enormes com abafador de som, achei bacana, silencio total.

Também me foi dado uma caneta e um papel para anotações e no computador tinha calculadora. Escolhi a prova em português, pois assim a prova vem em inglês e português. Recomendo mesmo que você seja fluente em inglês, vai que na duvida a prova em português te ajuda, e a qualquer momento você pode ler a questão em inglês. Eu confesso que usei muito mais o inglês, mas em algumas perguntas a tradução ajudou!

A prova tem 250 questões e deve ser feita em até 6 horas de prova! Não sei se sou eu que leio demais, mas eu usei 5 horas e meia de prova. Marquei somente 8 questões para revisão. Mudei a resposta de 2.  Minha dica: Não fique revisando muito as questões, a chance de você voltar e mudar a resposta para a errada é grande, confie no seu primeiro feeling, ao menos que você tenha muito certeza que a resposta estava errada.

Achei a prova complicadinha, pouquíssimas perguntas eram parecidas (parecidas, e não iguais, não tem pergunta igual aos simulados!) com os simulados.  Por tanto não tente decorar os simulados, não vai funcionar!

Muita pergunta com todas as respostas certas, mas você tinha que escolher a mais certa.

Caiu muito BCP/DRP na minha prova. Mas não tome isso como uma verdade.

Não caiu quase nada de criptografia, achei até estranho.

Caiu umas perguntas que não tinha visto em nenhum lugar nos materiais de estudo.

Fiz uma pausa para ir ao banheiro quando cheguei na centésima pergunta. Joguei uma água no rosto, bebi uma água gelada. Quando cheguei na pergunta  150, tive um momento meio Dejavu, parei, olhei para cima e rezei, eu na quele momento estava desanimando, achei que não passaria, não estava 100% confiante nas respostas. Depois começaram a vir umas perguntas de ataques e teste de invasão, a área a qual eu tenho maior experiência. Nesse momento fiquei aliviado, consegui sentir que dava! Quando terminei a prova, meu sentimento era de que eu não tinha passado, já estava até me conformando. A menina da recepção imprimiu um papel, peguei o papel, nem li. Peguei minhas coisas no armário, desci no elevador, e quando olhei pro papel, para minha surpresa estava lá: Parabéns Diego Piffaretti!

Nem acreditei!

Pena que não sai a nota, somente se você não passar eles te dão a nota. PS: na prova cai algumas perguntas que não valem ponto! Mas você não sabem quais são! E pelo o que a Kelly Handerhan falou no seu ultimo video do cybrary, a prova tem perguntas com pesos diferentes, mas ninguém sabe como funciona.

Não pense como técnico ness aprova, não tente resolver problema! É uma prova para ser feito com olhar de gerente – Se tal coisa aconter, qual ação é melhor tomar. É muito nesse estilo. Esqueça o técnico.

Mantenha a perspectiva “certa”. CISSP não é sobre trivialidades, trata-se de perspectivas gerenciais na obtenção de custos e aplicações de negócios de TI. Então, enquanto estuda, não procure memorizar fatos ou processos, mas procure entender por que uma determinada tecnologia é melhor usada em certos cenários – seus prós e contras – e a força motriz por trás dos processos (ou seja, o que eles estão tentando alcançar). Se você mantiver essa perspectiva ao longo do processo de estudo, você estará simultaneamente praticando o aspecto de perspectiva gerencial do teste, que é, sem dúvida, o elemento mais crucial.

Enfim, essas são minhas dicas, e caso alguém queira trocar experiencia, precise de ajuda com a prova, pode me procurar.

 

 

 

 

Whatsapp agora permite duplo fator de autenticação

O WhatsApp introduziu um novo recurso de segurança que corrige uma brecha na popular plataforma de mensagens, que, se explorada, pode permitir que um invasor entre na conta da vítima apenas sabendo o número de telefone da vítima e algumas habilidades de hacking.
O ataque não explora qualquer vulnerabilidade no WhatsApp; Em vez disso, depende da maneira como o mecanismo de configuração da conta funciona.
O WhatsApp permite que os usuários se inscrevam no aplicativo usando seu número de telefone; portanto, se um invasor quiser seqüestrar sua conta do WhatsApp, eles precisarão de um OTP (one time password) para enviar para seu número de telefone.

O atacante pode pegar este OTP desviando o SMS contendo a senha para seu próprio computador ou telefone, usando um aplicativo mal-intencionado ou vulnerabilidade SS7  e, em seguida, faça o login na conta WhatsApp da vítima. O ataque também funciona se o telefone estiver bloqueado.
Em agosto, hackers patrocinados pelo governo iraniano teriam sequestrado dezenas de contas do Telegram pertencentes a ativistas e jornalistas, explorando uma brecha semelhante.
Tal ataque também poderia ser utilizado contra qualquer aplicação de mensagens, incluindo Whatsapp e Viber, cujo registo baseia-se no mecanismo de verificação baseado em SMS.

Portanto, para corrigir esse problema, o WhatsApp agora introduziu o recurso de senha de verificação em duas etapas (2AF) para sua versão beta para Android, o que ajudará a bloquear o mecanismo de configuração do WhatsApp.
Em outras palavras, para reconfigurar a conta do WhatsApp com a confirmação em duas etapas habilitada, é preciso exigir não apenas o OTP, mas também uma senha de 6 dígitos definida pelo usuário.

whatsapp-enable-two-factor

COMO HABILITAR:

Para habilitar, você precisa primeiramente ser um Beta tester do Whatsapp, para ser um beta tester vou dar uma explicação resumida: basta abrir o Google Play, ir no Whasttapp, rolar a página até me baixo, e vai ter um botão ACEITAR. Depois de ser beta tester, basta seguir os passos:

  1. Vá até WhatsApp Settings → Account → Two-step verification.
  2. Click enable, insira uma senha de 6 digitos e confirme.
  3. Na p´roxima tela, entre seu email ID (opcional) para habilitar a recuperação de chave por email. (Recomenda-se usar o e-mail como backup para que você não seja bloqueado da sua conta se você esquecer sua senha.)
  4. Clique em “Done, “e prontinho!.

Kautilya: Transformando seu Teensy (HID) em um hacking toolkit

Kautilya é um hacking toolkit para dispositivo de interface humano  que fornece várias cargas úteis para HIDs que podem ajudar durante os testes de penetração.

kautilya-human-interface-device-hacking-toolkit-640x436

As cargas e módulos do Windows são escritos principalmente em powershell (em combinação com comandos nativos) e foram testados no Windows 7 e Windows 8. Em principal, o Kautilya deve trabalhar com qualquer HID capaz de atuar como um teclado. Kautilya foi testado em Teensy ++ 2.0 e Teensy 3.0 de pjrc.com.

Payloads Available

Windows

  • Gather
    • Gather Information
    • Hashdump and Exfiltrate
    • Keylog and Exfiltrate
    • Sniffer
    • WLAN keys dump
    • Get Target Credentials
    • Dump LSA Secrets
    • Dump passwords in plain
    • Copy SAM
    • Dump Process Memory
    • Dump Windows Vault Credentials
  • Execute
    • Download and Execute
    • Connect to Hotspot and Execute code
    • Code Execution using Powershell
    • Code Execution using DNS TXT queries
    • Download and Execute PowerShell Script
    • Execute ShellCode
    • Reverse TCP Shell
  • Backdoor
    • Sethc and Utilman backdoor
    • Time based payload execution
    • HTTP backdoor
    • DNS TXT Backdoor
    • Wireless Rogue AP
    • Tracking Target Connectivity
    • Gupt Backdoor
  • Escalate
    • Remove Update
    • Forceful Browsing
  • Manage
    • Add an admin user
    • Change the default DNS server
    • Edit the hosts file
    • Add a user and Enable RDP
    • Add a user and Enable Telnet
    • Add a user and Enable Powershell Remoting
  • Drop Files
    • Drop a MS Word File
    • Drop a MS Excel File
    • Drop a CHM (Compiled HTML Help) file
    • Drop a Shortcut (.LNK) file
    • Drop a JAR file

Misc

  • Browse and Accept Java Signed Applet
  • Speak on Target

Linux

  • Download and Execute
  • Reverse Shells using built in tools
  • Code Execution
  • DNS TXT Code Execution
  • Perl reverse shell (MSF)

OSX

  • Download and Execute
  • DNS TXT Code Execution
  • Perl Reverse Shell (MSF)
  • Ruby Reverse Shell (MSF)

Usage

Execute kautilya.rb e siga os menus.

Kautilya pede suas entradas para várias opções. A carga gerada é copiada para o diretório de saída do Kautilya.

Você pode fazer o download do Kautilya aqui:

Kautilya-v0.5.5.zip

Or read more here.

Phishing Interativo: novo ataque dissiminando no Brasil

O Brasil está lutando uma batalha difícil quando se trata de cibercrime. Há uma nova tentativa de fraude a cada 16,9 segundos no Brasil, De acordo com o Brasil Econômico, existem cerca de 4.700 tentativas por dia.

Pesquisadores da IBM X-Force descobriu e analisou um novo método de phishing que surgiram recentemente no Brasil. Este método particular é projetado para emular um Trojan bancário, extraindo dados críticos de suas vítimas em tempo real através de um ataque de phishing ao vivo, interativo!

Nesse esquema de phishing ocorre ao longo de uma sessão de web entre o atacante e a vítima. Ele é capaz de imitar a aparência de um site de banco, assim como phishing tradicional, mas ele consegue ver a interação do usuario com o falso sistema, mais do que apenas uma página de phishing ocioso. De longe e nos bastidores, os cibercriminosos pedem para todos os tipos de detalhes da conta.

Muito provavelmente, o criminoso irá acessar a conta comprometida a partir do site do banco para fazer uma transação em tempo real, durante todo o tempo que envia o pedido de mais detalhes de autenticação da vítima. O surgimento deste novo método de provavelmente contribuem para a alta em fraudes no Brasil ao longo dos próximos meses.

O Brasil já é o segundo maior gerador de cibercrime do mundo, de acordo com a Computerworld, e o país mais afectado pela fraude na América Latina, segundo O Globo. Por alguma perspectiva, um dos países mais visados do cibercrime no mundo, o Reino Unido, viu um aumento de 25 por cento em fraude on-line em 2015, conforme relatado pelo The Guardian. Brasil viu um aumento de 40 por cento em fraude bancária on-line, de acordo com El País, durante o mesmo ano.

Veja como funciona:

1. Spam Email

Uma vítima recebe um e-mail phishing contendo um link. Depois de clicar nele, a vítima cai na página do atacante, que parece verdadeiro site do banco, mas a URL na barra de endereços não é o correto. Para adicionar uma medida de credibilidade e para gerir as diferentes marcas específicas, os atacantes adicionar um sublinhado seguido de URL do banco na barra de endereços.

2. Inicio da Sessão

A sessão de web interativa começa assim que uma nova vítima chega à página falsa. Para alertar o atacante cada vez que há uma nova vitima, o painel de administração lança um som da gargalhada do mal!

Deste ponto em diante, a vítima e o atacante estão interligados como se fosse um chat.

1-an-interactive-phishing-conversation

Após receber as credenciais de login da vitima, o criminoso usa o painel de administração para empurrar telas de engenharia social para a vítima, solicitando outras informações que o banco pode exigir para completar uma transação.

3. Tela da aplicação

Usando o painel de administração (ver Figura abaixo), o atacante pode escolher o conteúdo pre criado ou mesmo escrever mensagens personalizadas na tela para tornar o processo parece mais personalizado e legítimo.

O próprio painel de administração é principalmente escritos em Português. Antes de a vítima dar mais alguma informação, o painel indica o status: esperando.

2-attackers-web-based-admin-panel

A figura abaixo mostra como o painel permite que o criminoso possam selecionar as mensagens a partir de um menu. Estes são programados para solicitar elementos diferentes da vítima. Alguns exemplos são os seguintes:

 

  • código de token;
    Assinatura digital;
  • Cartão de pagamento PIN;
  • Número de identificação;
  • Número de telefone;
  • Conteúdo das mensagens SMS.

3-admin-panel-offers-different-premade-options-to-the-attacker

Genial  e perigoso, não é? Para maiores detalhes, veja a matéria completa: SecurityIntelligence

Entenda o golpe do “depósito simulado”

O golpe do “depósito simulado” ou do envelope vazio é um golpe de estelionatários que vem sendo registrado pelo menos desde 2014 ( foram os registro que encontrei em uma busca rápida).

Os estelionatários telefonam para empresas que comercializam produtos, principalmente casas agropecuárias se passando por compradores que estão interessados em comprar produtos com pagamento à vista, através de depósito bancário. Mas, os envelopes são depositados vazios.

A negociação

O estelionatário telefone para o comerciante e se diz interessado no produto , por exemplo a compra de roupas de uma confecção. O estelionatário então, diz que precisa urgentemente de 10 mil reais em mercadoria por exemplo e diz que vai pagar a vista. Dias depois o estelionatário telefona para a vitima e diz que fez o deposito dos 10 mil reais. Passado algumas horas, o estelionatário liga novamente, informando que seu officeboy fez o deposito erroneamente, ao invés de 10 mil, depositou 30 mil, por exemplo.

Ai se dá inicio ao golpe, o estelionatário faz um deposito vazio na boca do caixa com o valor de 30 mil reais. Ele diz que está desesperado precisando do dinheiro de volta, e pede ao comerciante que veja o saldo da sua conta e faça o estorno de 20 mil reais e fique com os 10 mil combinados. A pessoa então cai no golpe, fazendo estorno de 20 mil reais, que na verdade jamais existiram na sua conta.

Onde está a falha no golpe

No ato da negociação, a maioria dos casos envolve produtos agropecuários como: roçadeiras, arames e implementos. Os estelionatários acertam de fazer o depósito no Bradesco, mas, na verdade, os criminosos inserem nas máquinas de auto-atendimento um envelope vazio.

A facilidade está no sistema do Bradesco, que soma o saldo da conta da vítima com o valor indicado pelo suposto depósito contido no envelope, mesmo sem que ainda tenha sido processado. Daí, os estelionatários pedem à vítima que faça a consulta do saldo bancário e lá já consta no extrato o valor indicado no depósito, o que induz a vítima ao erro, ou seja, permite a entrega do material negociado ou até devolução de dinheiro.

Com evitar

A principal medida é tomar muito cuidado ao vender qualquer produto ou fechar um negócio, principalmente quando a negociação for realizada pela a internet. Não aceite pagamento feitos por depósito no caixa eletrônico, ou então, quando aceitar, só entregue o produto ou encerre o negócio quando obtiver a confirmação de que o dinheiro já está na sua conta.

 

Veja um vídeo sobre o caso:

 

 

Wireless attack no Tesla Model S

A vulnerabilidade remota para o Tesla Model S foi demonstrado por pesquisadores do Laboratório de Segurança Keen, uma divisão da gigante de internet chinês Tencent. A vulnerabilidade foi confirmada pela equipe de segurança do produto de Tesla e já foi corrigida através de uma atualização de software over-the-air, como Keen trabalhou com Tesla para corrigir a falha antes de ir público.

A vulnerabilidade compromete o bus CAN que controla muitos sistemas de veículos. Ela exige que o carro para ser conectado a um hotspot wi-fi malicioso para assumir o controle e funciona através do navegador web do carro. É um conjunto, reconhecidamente estreito de circunstâncias necessárias para comprometer o carro, mas apresentaria uma oportunidade clara para um determinado atacante poder causar danos significativos.

Em uma demonstração de vídeo, um pesquisador utiliza a função de pesquisa de mapeamento do carro para encontrar o ponto de carregamento mais próximo. Nesse ponto, os pesquisadores assumem ambas as telas de do computador de bordo e painel de instrumentos e desbloqueiam remotamente as portas. Eles também foram capazes de abrir o porta-malas, dobrar um espelho lateral e ativar os freios enquanto o veículo estava em movimento. Os pesquisadores também foram capazes de abrir remotamente o teto solar, mover os assentos e ativar as lâmpadas de sinalização.

Sem categoria