Atualmente tenho feito diversas palestras, podcasts e em uma dessas participações acabei recebendo um alerta no meu e-mail, que eu havia configurado anos atrás, não me lembrava mais, mas basicamente dizia que meu nome tinha cito citado em um site. Olhando o alerta, era relacionado a um podcast que eu gravei em parceria com a Microsoft e a Rádio CBN. Percebi que esse alerta é super útil e serve tanto para quando seu nome for citado, mas também para qualquer termo, como por exemplo, “pentest”.
Para configurar o alerta, basta ir no Google Alertas, acessado pela página: https://google.com/alerts
Na página digite o termo desejado e clique em “Criar Alerta”.
Depois de criado o alerta, qualquer pessoa que cite o termo digitado na internet, você receberá um aviso por e-mail. No meu caso que eu configurei meu nome, facilita um pouco pois eu tenho um sobrenome pouco comum, então sejam criteriosos no caso de optarem no monitoramento de termos que gerem muitos conteúdos.
Todo ano, o Gartner lança um relatório que identifica tendências tecnológicas críticas para os negócios. O material produzido pela consultoria global lança os holofotes para os pontos que considera mais relevantes para o mercado. Este ano, doze tendências estratégicas são consideradas fundamentais para 2022, permitindo aos CEOs entregarem crescimento, digitalização e eficiência e posicionando CIOs e executivos de TI como parceiros estratégicos na organização.
Vale destacar que a tecnologia segue trabalhando em benefício da sociedade, criando soluções inovadoras para viabilizar empregos remotos e levar soluções para os seus clientes.
Conheçam as 12 tendências apontadas pelo Gartner:
1 – Data Fabric
O termo Data Fabric pode ser visto como uma arquitetura e um pacote de serviços de dados capazes de fornecer recursos consistentes em ambientes multicloud. A robusta arquitetura padroniza as práticas de gerenciamento de dados na nuvem, on-premise e em dispositivos de borda. Podemos destacar como vantagens da Data Fabric a visibilidade e geração de insights, acesso e controle, proteção e segurança dos dados. O Objetivo é oferecer uma integração eficiente e flexível de fontes de dados entre plataformas e usuários de negócios, tornando os dados disponíveis em qualquer lugar que forem necessários.
2 – Malha de segurança cibernética (Cybersecurity Mesh)
A malha de segurança cibernética é uma arquitetura flexível, capaz de integrar serviços de segurança amplamente distribuídos e diferentes.
Essa arquitetura permite que as melhores soluções de segurança autônomas trabalhem juntas para melhorar a segurança geral enquanto aproxima os pontos de controle dos ativos que eles foram projetados para proteger. Ele pode verificar de forma rápida e confiável a identidade, o contexto e a aderência à política em ambientes em nuvem.
3 – Computação com aprimoramento de privacidade (Privacy-Enhancing Computation)
A computação com aprimoramento de privacidade protege o processamento de dados pessoais em ambientes não confiáveis , fator cada vez mais crítico devido à evolução das leis de privacidade e proteção de dados, bem como às crescentes preocupações dos usuários.
O foco em uma computação que promove a privacidade utiliza uma variedade de técnicas de proteção da privacidade para permitir que o valor seja extraído dos dados, ao mesmo tempo que atende aos requisitos de conformidade.
As plataformas cloud native são tecnologias que permitem construir novas arquiteturas de aplicações resilientes, elásticas e ágeis. Dessa forma, é possível responder e se adaptar a qualquer à diversas situações dentro do mundo digital.
As plataformas cloud native aprimoram a abordagem tradicional de migração de uma estrutura para a nuvem, que por muitas vezes resulta em um processo não eficiente e falha em aproveitar os benefícios da computação em nuvem e adiciona complexidade à manutenção.
Aplicações combináveis são desenvolvidas a partir de componentes modulares centrados nos negócios.
As aplicações combináveis facilitam o uso e a reutilização do código, acelerando o tempo de colocação no mercado de novas soluções de software e liberando valor corporativo.
6 – Inteligência de Decisão (Decision Intelligence)
A inteligência de decisão é uma abordagem com o objetivo de melhorar a tomada de decisão organizacional, sendo parte fundamental no processo de Transformação Digital. Ele modela cada decisão como um conjunto de processos, usando inteligência e análises para informar, aprender e refinar as decisões.
A inteligência de decisão pode ser um braço direito para ajudar os humanos a tomarem as suas decisões e, potencialmente, automatizá-las por meio do uso de análises aumentadas, simulações e IA.
7 – Hiper automação (Hyperautomation)
A hiper automação é uma abordagem de negócios desenvolvida para identificar, examinar e automatizar rapidamente o maior número possível de processos de negócios e TI.
Essa abordagem permite escalabilidade, operação remota e interrupção do modelo de negócios. Trata-se da automação de qualquer processo empresarial que combina RPA (Automação de Processos Robóticos) e outras tecnologias como Inteligência Artificial.
8 – Engenharia de IA (AI Engineering)
A engenharia de IA automatiza atualizações de dados, modelos e aplicações para agilizar a entrega de uma solução IA. Combinado com uma forte governança de IA, essa prática poderá operacionalizar a entrega de IA para garantir seu valor de negócios contínuo.
As empresas distribuídas refletem um modelo de negócios digital-first, remote-first para melhorar as experiências dos funcionários, digitalizar os pontos de contato do consumidor e do parceiro e construir experiências de produto.
As empresas distribuídas atendem melhor às necessidades de funcionários e consumidores remotos, que estão aumentando a demanda por serviços virtuais e locais de trabalho híbridos.
10 – Experiência Total (Total Experience)
A experiência total é uma estratégia de negócios que integra a experiência do funcionário, do cliente e do usuário. Essa estratégia agrega multi experiência em vários pontos de contato para acelerar o crescimento.
A experiência total pode gerar maior confiança, satisfação, lealdade e defesa de clientes e funcionários por meio do gerenciamento holístico das experiências das partes interessadas.
11 – Sistemas autônomos (Autonomic Systems)
Os sistemas autônomos são sistemas físicos ou de software autogerenciados que aprendem com seus ambientes e modificam dinamicamente seus próprios algoritmos em tempo real para otimizar seu comportamento em ecossistemas complexos.
Os sistemas autônomos criam um conjunto ágil de recursos de tecnologia que são capazes de suportar novos requisitos e situações, otimizar o desempenho e defender contra ataques sem intervenção humana.
12 – IA geradora (Generative AI)
A IA generativa aprende sobre artefatos a partir de dados e gera novas criações inovadoras que são semelhantes ao original, mas não o repetem.
A IA generativa tem o potencial de criar novas formas de conteúdo criativo, como vídeo, e acelerar os ciclos de P&D em campos que vão da medicina à criação de produtos.
Conclusão
De acordo com Gartner, essas tendências tecnológicas estratégicas irão acelerar as capacidades digitais e direcionar o crescimento, resolvendo desafios comuns de negócios para CIOs e executivos de tecnologia.
Quem quiser assistir na integra o vídeo da Gartner que fala sobre essas 12 tendências, clique aqui
Muitas empresas se perguntam, se alguém me “hackear”, podem obter todos os dados, mas … o que estou perdendo?
Devemos explicar que uma violação de dados revela que a segurança de sua empresa (completa) está em risco. E estes “vazamentos” são evidências, basicamente, que a segurança que você está usando em sua infra-estrutura, aplicação, etc, não está adequada.
Voltando a pergunta “o que estou perdendo?”, podemos em linhas gerais citar:
Perda de confiança e reputação(danos a imagem)
Você expõe ao mercado que sua organização não tem uma boa segurança.
Eles podem fazer de novo quando quiserem, lembre-se que você não sabe como eles fizeram e eles vão tentar deixar o mínimo de pistas possível!
Os dados extraídos dos vazamentos podem ser usados para atacar usuários em outras plataformas.
Se for uma empresa que fornece serviços e o ataque compromete a entrega/prestação desse serviço, a reputação da empresa para novos contratos ou até mesmo manter os atuais podera estar ameaçada
A cada dia produz mais medo saber que um grupo ou organização criminosa é dona dos seus dados, pois, com eles, pode comprometer a sua economia e o seu bem-estar. (Lembre-se que esses dados são vendidos ou transferidos para outras entidades para serem exploradas, na forma de SPAM, campanhas de phishing, roubo, etc.)
Perdas econômicas diretas
Cai o serviço que você oferece.
Custo de restabelecimento do serviço, aqui incluo o que vem em alta que é o pagamento de resgate em casos de Ransomware, vide exemplo da JBS que desembolsou a bagatela de 11 milhões de dólares para voltar a sua operação que foi afetada por Ransomware do grupo Revil
Possível compensação por reclamações de usuários.
Perdas econômicas derivadas do fato de os usuários não realizarem mais procedimentos por meio de sua plataforma. (Publicidade, assinaturas ..)
Leis de proteção de dados onde multas podem ser aplicadas no caso de vazamento
Perdas econômicas indiretas.
Pesquisa e investigação para determinar as falhas que causaram o vazamento.
Tempo investido para restabelecer os serviços + tempo investido para pesquisar e corrigir a falha de segurança (caso você a encontre).
Provavelmente o desdobramento exigirá um investimento que você não estava preparado seja com consultorias, seja com equipamentos/tecnologia para mitigar/reduzir o risco.
Com certeza uma coisa eu digo: Prevenir o incêndio custa muito menos que consertar o prédio que tá pegando fogo! Muitas empresas acabam não investindo em segurança e só pensam/investem no tema depois que ocorre um incidente.
A IBM gerou um relatório que possui diversas métricas interessantes. Agora respondendo em números a nossa pergunta, quanto estou perdendo, segundo o report da IBM o custo de um vazamento de informações é em média de 4,24 milhões de dólares. Já ataques de ramsomware tem um custo médio de 4.62 milhões de dólares.
Alguns dados relevantes do relatório:
O setor com o maior custo em termos de violação de dados é o de Serviços de Saúde .
20% das violações de dados foram causadas por credenciais comprometidas e em segundo lugar 17% através de phishing
O número médio de dias necessários para encontrar a vulnerabilidade foi de 287 dias .
Empresas que não possuem automações e Inteligência Artificial em seus processos de segurança gastaram 80% a mais nos vazamentos
Recentemente foi disponibilizado os autos de investigação da PF da invasão ocorrida no TSE em abril de 2018.
Sem entrar em um discurso politico, me prendendo somente a temática de segurança da informação, analisei os detalhes do incidente que são contados no relatório e resolvi trazer pontos de lições aprendidas.
O documento inicia falando sobre comprometimento de um web server do Rio Grande do Norte e movimentação para servidores de outras regionais. Foram feitos diversos scans de rede, depois é citado a máquina da regional TRE-AP foi acessada com um usuário que deveria estar desativado e com senha de fácil dedução. O documento segue dizendo que houve a utilização de uma webshell para comprometer uma das máquinas. Também é mostrado um acesso a uma máquina utilizando o Teamviwer. O documento segue citando que o webshell foi instalado em outras máquinas. Em seguida é citado que existia uma VPN destinada a uma empresa de manutenção de centrais telefônicas. na sequencia, é falado sobre tentativas de acesso a portas Oracle e também de scans de rede focados nas portas 80, 443, 8080, 8081, 8180, 21 e 3389. Depois é citado que foram identificados ataques a procura de fragilidades no PHP. Na sequencia é falado sobre acesso ao ILO, software da HP para gerenciamento de máquinas.
Mais para frente o documento fala sobre obtenção de senhas que não eram triviais e de uma suspeita de obtenção da base do AD com posterior quebra das senhas. O atacante cita que obteve acesso por vários meses na infra do TSE e que ele percebeu nas trocas de e-mail que cortaram o acesso a VPN, porém ele manteve o acesso. Foi identificado um servidor que fazia a compilação do código fonte das urnas utilizando jenkins sem senha.
Lições
Diante do resumo que fiz acima, alguns pontos que podemos destacar como lições que podemos tomar na ótica de segurança:
Usuário legado – Importante sempre estar fazendo sanitizações em usuários locais e na base do AD. Se possível evitar a utilização de usuário local, já que é algo difícil de gerenciar. Aconselho utilizar em ambiente Windows o LAPS da Microsoft para gestão de usuários administradores locais e de suas credenciais. Além disso para o AD pode-se fazer buscas periódicas em atributos como de “lastlogon”, estipular um prazo que se adeque ao se negocio, mas uma sugestão seria algo em torno de 7 meses, já que podem ter mulheres grávidas que se afastam pelo período de 6 meses e emendam férias. Passado esse timming, pode-se criar algum tipo de script ou processo manual para bloqueio do usuário e movimentação para uma quarentena. Caso você tenha um poder ferramental ou investimentos, uma ferramenta de gestão de identidades conseguiria lidar bem com esse processo.
Senha de Fácil dedução – Senha seja ela fácil ou difícil, por si só é um conceito que não dá mas para ser usado como único fator. É importante que se utilize o conceito de duplo fator de autenticação. Uma recomendação é que minimamente sistemas externos tenham 100% implementado 2FA para autenticação. Contas de serviço/robôs e afins que não podem digitar um 2FA, podem entrar numa regra condicional com IP de origem bem amarrado para que somente essas exceções possam interagir externamente sem 2FA. Obviamente o ideal é ter 2FA em tudo, mas partindo de estratégias por etapas, acredito que essa parte de fechar bem os acessos e sistemas externos já seja uma boa estratégia.
Scan de rede – Este ponto é um que vejo uma dificuldade maior nas empresas em geral para mitigar. Minha sugestão que uma das coisas que pode jogar ao seu favor é o seu endpoint, isso mesmo seu antivírus. Existem muitas soluções de antivírus que possuem a feature de detectar e barrar scans de rede e que funcionam perfeitamente. Outro ponto, na verdade até mais adequado, é o próprio firewall com módulos de segurança corretamente configurados. Uma ferramenta de IPS/IDS também ajuda nesse assunto. Scans de rede devem ser permitidos somente de servidores com essa função, como por exemplo o pessoal de gestão de vulnerabilidades.
Webshell – Importante aqui alguns processos. Um deles é a realização constante de pentest que assegurem que não sejam possíveis de serem feitos upload de arquivos maliciosos. Outra camada importante de proteção é o próprio endpoint que deve ter a capacidade de detectar a inserção desse tipo de arquivo. WAF seria uma camada adicional que pode ajudar também nessa temática.
Teamviwer – Aqui a minha sugestão é: quais ferramentas de acesso remoto você permite em sua empresa? Depois de definido quais, em que redes você o permite? A utilização de ferramentas como essa se não forem bem implantadas trazem grande risco. Sugiro regras fortes de firewall bloqueando todas essas ferramentas e liberar somente em redes especificas, garantindo além disso que somente usuários com alto privilegio possa ter a capacidade de instalação em servidores e em estações também.
Software de gerenciamento de servidores – Tome cuidado com softwares como Ilo e IDRAC principalmente. O IDRAC é algo manjado em testes de invasão, onde a maioria dos atacantes vão tentar de cara a famosa senha padrão root-calvin. Se possível faça single sign on nessas plataformas e garanta um login corporativo com 2FA ou então minimamente certifique-se que nenhuma senha de fácil dedução ou padrão está sendo utilizada.
Base do AD – Neste ponto não foi claro que realmente houve obtenção da base do AD, até acho que podem ter sido utilizado outras técnicas como obtenção de senha em memória, já que quebra de senha exigiria tempo e se a sena fosse realmente muito boa como foi citado, exigiria bastante tempo. Existe também a possibilidade de obtenção da senha em texto claro nas famosas anotações, arquivos txt ou as famosas planilhas com diversas senhas anotadas. Se prendendo a temática de replicação da base do AD, aqui um ponto é que para tal ação é necessário ter um usuário Domain Admin. Um chefe meu me falou uma vez uma frase que eu tomo como um mantra: Domain Admin você tem que conseguir contar na palma de uma mão, se passar disso tem algo errado. Enterprise e Schema Admin então não deveria ter ninguém inserido nunca. Para isso siga muito estritamente o conceito de menor privilégio possível. Só se eleve quando necessário. Outra lição é , servidores de AD, devem ser estritamente protegidos, com acessos muito restrito e dificultados, de preferência com regras de acesso a nível de firewall bem restrita. Outra sugestão é, faça ao menos 1 vez ao ano ataques de força bruta contra a sua base! Eu já fiz um post sobre isso por aqui.
Outros pontos – Foi citado por exemplo uso de um jenkins aberto, importante que que o processo de gestão de vulnerabilidades seja efetivo e que sempre busque essas falhas, as que vejo mais comuns são FTP com acesso anônimo, telnet, RDP com guest habilitado, mongodb sem senha, ELK sem senha.
Também foi falado sobre uma VPN que foi utilizada, a qual era destinada a uma empresa terceira. Minha sugestão, quanto mais flores para cuidar mais complexo fica seu jardim! Menos as vezes é mais, no meu ponto de vista uma arquitetura bacana é uma VPN única para tudo com as devidas regras para cada publico que nela se conecta, assim você tem uma coisa só pra cuidar. Você vai ter regras específicas de acessos para funcionários, outras para administradores e outras para terceiros e demais.
Segregação de rede é muito importante, inclusive na temática de ransomware que tem crescido em larga escala, nesse tipo de ataque, segregação de rede é uma das grandes camadas de proteção. No caso do TSE uma segregação de rede mais adequada teria evitado ou pelo menos dificultado a movimentação lateral.
Outro ponto é resposta de incidentes efetiva. Foi citado que foi feito a derrubada da VPN mas que o acesso foi mantido pois não era por ali que o hacker estava entrando. Para isso é necessário como primeiro passo se investir em um time sólido e com conhecimento, além disso ter o ferramental adequado e logs além de um bom SIEM para uma boa analise e uma resposta rápida. Pessoas, processos e ferramentas, isso vale para tudo!
O conceito de jump server também merece ser citado. Pelo documento parece que houve muita movimentação lateral com acesso RDP direto de um lugar ao outro. Importante ter uma arquitetura com conceito de jump server, onde usuários só podem acessar a rede de servidores a partir de servidores específicos. Tendo investimento, ferramentas de gerenciamento de acessos são grandes aliados (EX: Cyberark ou senha segura).
Por último mas não menos importante: Tenha bons processos de gestão de vulnerabilidades e pentest implementados!
E por fim…
Meu intuito no post não é apontar defeitos na rede do TSE ou de sua equipe, mas sim a partir da analise do ocorrido o que podemos tirar de melhorias que outras empresas que tenham problemas parecidos possam refletir. Diversos pontos fiz explicações mais rápidas, mas é bom eu explicar que foi um resumo de ações, existem diversas outras estratégias que demandaria um texto muito longo.
Olá pessoal! Vou escrever brevemente sobre a nova versão do CIS v8, que foi lançada no mês de Maio/21
Fiz uma imagem que mostra as principais mudanças em relação ao seu antecessor, a versão V7:
O CIS Controls v8 foi aprimorado para acompanhar os sistemas e softwares modernos. As principais mudanças podem ser notadas no surgimento dos assuntos de computação baseada em nuvem, virtualização, mobilidade, terceirização, home office e mudanças nas táticas do invasor.
A versão 8 combina e consolida os controles CIS por atividades, em vez de por quem gerencia os dispositivos. Os controles agora são organizados por atividade versus como as coisas são gerenciadas.
Os esforços para simplificar os controles e organizá-los por atividade resultaram em menos controles e menos salvaguardas, na V7 eles chamavam de subcontroles, precisamos agora nos acostumr com essa nomeclatura salvaguarda!
Existem agora 18 controles de nível superior e 153 salvaguardas dispersas entre os três grupos de implementação que são os IGs
IG1 = higiene cibernética básica
O CIS Controls v8 define oficialmente o IG1 como higiene cibernética básica e representa um padrão mínimo emergente de segurança da informação para todas as empresas. IG1 (56 Salvaguardas) é um conjunto básico de Salvaguardas de defesa cibernética que todas as empresas devem aplicar para se proteger contra os ataques mais comuns.
IG2 (mais 74 salvaguardas) e IG3 (mais 23 salvaguardas) baseadas em IGs anteriores, com IG1 sendo a rampa de acesso aos controles e IG3 incluindo todas as salvaguardas para um total de 153.
Vou deixar abaixo está uma lista dos controles CIS na v8 e quantas salvaguardas em cada um são aplicáveis a cada grupo de implementação.
Para quem quiser ter mais detalhes do CIS controls V8 assim como baixar todas as suas ferramentas, segue o link:
Olá pessoal, dessa vez um post mais curtinho. Estou disponibilizando aqui um script em Python que lê uma lista de ranges de IP, um range por linha e conta quantos IPs tem ao total.
O script pode ser útil quando receber um escopo de IPs em um pentest ou em um scan de vulnerabilidades e quiser saber ao todo quantos IPs tem.
Olá! Pessoal, uma dica bacana que eu trago, apesar de utilizar uma técnica antiga mas que vejo poucas pessoas fazendo proativamente, que é a de força bruta em hashes do AD.
Você sabe se os funcionários estão realmente criando senhas boas? Como você mede isso? Não custa dizer, senha por si só já era a muito tempo, você sempre precisa combinar isso com um segundo fator. Mas sabemos que nas empresas não é 100% das coisas que costumam terem a possibilidade de exigir esse segundo fator e é ai que mora o perigo! Basta descobrir 1 senha e uma porta onde dê pra entrar somente com ela e pronto!
A sugestão que eu dou é que seja feito ao menos 1 vez no ano testes de força bruta nos hashes do AD para que você veja o quanto de conscientização você precisa trabalhar na empresa ou até mudar politicas. Eu desconheço um benchmarking de porcentagem de quebra de senha, mas pela minha experiência de anos fazendo isso eu diria para trabalhar com os seguinte valores:
Entre 0 e 8% – Está num nível de maturidade otimo
Entre 8 e 20% – Está bom, mas precisa trablhar um pouco ainda na conscientização
Entre 20% e 40% – Precisa trabalhar forte na conscientização, com campanhas mais pesadas. É hora de começar a ligar o radar!
Acima de 40% – Significa que alguma coisa bem errada está acontecendo, hora de ligar o alerto vermelho. Eu diaria que você precisa rever primeiro toda a sua politica de senha. Aumentar a quantidade de caracteres minimos exigidos, aumentar a complexidade de senha como um todo, e além disso fazer campanhas pesadas de conscietização.
Pegando os hashes
Para pegar os hashes no AD, existem diversas formas e ferramentas. Porém aqui estou no olhar de que é um teste acordado, onde alguem que tenha acesso ao AD irá extrair esses hashes. Para isso a forma mais simples na minha opnião é usando ntdsutil. Caso queira saber mais sobre outras ferramentas segue aqui um otimo material de referência:
secretsdump.py -system ARQUIVO_SYSTEM -ntds ARQUIVO_ntds.dit LOCAL
O arquivo que for gerado já está no formato correto para a tentativa de quebra.
Força Bruta
Para o ataque de força bruta efetivamente falando, a primeira coisa é decidir que tipo de ataque você quer fazer, se um ataque de dicionário ou de rainbow table.
Não vou me aprofundar aqui na explicação, mas basicamente o Rainbow Tables é uma tabela de hashes, ou seja, será feito um teste só de “cara crachá”, um teste de comparação. Já no ataque de dicionário você vai fazer processar o calculo de trasnformar cada palavra/senha que está no seu dicionário no formato de hash que está tentando quebrar e comparar.
A vantagem do rainbow table é a velocidade, que é infinitamente mais rápido. Em contrapartida você vai precisar de muito mais espaço em disco pois você já vai ter que gerar sua rainbow table com as regras aplicadas. Iremos falar logo a frente sobre regras.
O dicionário é mais lento mas tem a vantagem de ocupar menos espaço e de ser maliavél, você aplica as regras que quiser no tempo que desejar com mais facilidade. Para os meus testes eu costumo usar mais ataque de dicionario e é baseado nele que vou continuar minha explicação.
Após escolhido a técnica, você deve escolher a ferramenta. Existem algumas, hashcat, john, hydra. Eu considero o hashcat como a melhor ferramenta disparado. Não vou me alongar aqui nos motivos, apenas acreditem em mim 🙂 rsrsrs !
Proximo passo é o hardware! Sim caro leitor, tentar rodar um teste de força bruta num processador Celeron da vida você vai sofrer!
O ideal é que você tenha um equipamento com uma placa gráfica, assim você pode inclusive somente usar o poder de processamento da sua placa de vídeo e seu computador fica com o processador intacto. Você também pode optar por pegar uma super máquina em cloud, numa AWS da vida e afins, usar só por tempo determinado dessa atividade, as vezes o custo compensa.
Eu no caso costumo fazer os testes em um computador da minha atual empresa que possuia seguinte configuração:
NVIDIA Quadro M2200 – 4GB GDDR5
Windows 10
Desempenho: 8256.5 Milhões de Hashes por segundo
Uma dica, o hashcat é todo por interface de linha de comando. Mas você pode baixar o hashkiller, uma ferramenta que vai te prover uma interface gráfica para o seu hashcat e facilitar muito a sua vida.
Você já tem quase tudo que precisa. Agora falta o mais importante: O Dicionário!. O seu sucesso vai depender praticamente disso, de ter um bom dicionário!
Aonde eu consigo bons dicionarios? Eu prefiro dizer que o melhor dicionário é aquele que você mesmo cria! Precisa dedicar tempo, paciência e criativade. Em linhas gerias dicas que eu dou: busque por dicinário aurelio, nomes de time de futebol, girias, palavrões, nomes, sobrenomes, usar os proprios logins e nomes dos proprios funcionários que constarem no proprio dump do AD, nome de filme, nome de personagem, desenho, frases de religião, nome de deuses, nomes de anjos, cidades, paises, comidas,marcas, cor, animais, nome de sistemas da sa empresa, palavras usuais da empresa, nome da empresa e de suas filiais/join ventures e por ai vai. Coloque tudo em um TXT, tudo em caixa baixa de preferência. Sanitize caracteres como Ç ou assentuações. Sanitize também as linhas duplicadas. Complemente seu dicionário com dicionários de internet. Um bem famoso é o rockyou, que já vem no Kali.
DICA: busque por wordlist no github, e você vai achar várias! Pode buscar por wordlist PT-BR que vai achar bastante em português também.
Depois de montado o seu dicionário basta fazer os testes combinando o seu dicionário com as rules do hashcat, além disso utilizar a técnica de apendar arquivos na frente e atrás funcionam muito bem, por exemplo, você pode criar um segundo arquivo TXT com as palavras: 123, 321, @123, @321 .. Aqui sua imaginação é quem manda. E mandar combinar o dicionario que você montou com esse segundo TXT.
Você pode encontrar boas rules no github também. Eu já acho as que vem no hashcat muito boas.
Eu considero pela minha experiência que um bom dicionário é aquele que é rico de palavras da cultura do pais do usuário que você está quebrando a senha + a maior quantidade de palavras possíveis que possam ser usuais + boas regras e boas combinações + um certo entedimento de como as pessoas pensam, como geralmente as pessoas criaram as suas senhas e isso só a experiência ao longo do tempo irá lhe responder, a combinação de todos esses fatores lhe trará sucesso na sua quebra de senhas.
Analisando os resultados
Sugiro que na etapa anterior você anote o tempo de execução de cada tipo de teste que você fizer para que você gere uma métrica do tipo: Em X horas foi possivel quebrar Y senhas.
Com as senhas quebradas, o proximo ponto é sanitizar a sua base. Verificar dos hashes quebrados, quais usuarios são contas habilitadas e quais estão desabilitadas. Quebrar senha de usuario desabilitado não é muito útil, e portanto deveria ser expurgado da sua contabilização. Após sanitizar sua lista, ai sim você poderá dar inicio a sua analise estatistica.
Com as senhas quebradas em mãos, coloque todas as senhas em um arquivo txt. Uma ferramenta excelente para fazer analise estatistica das senhas é o PIPAL:
Se algum leitor conhecer alguma parecida, por favor inclusive peço me indicar, mas essa é a melhor que conheço. Ela vai gerar dados bem riscos, como top 10 senhas entre outros.
Por fim, gere uma apresentação com os gráficos e apresente a quem seja de interesse, dependendo da % de senhas quebradas, tome as medidas de proteção que melhores sem encaixarem na sua estratégia. Ao se adotar isso como um processo continuo, você poderá também gerar estatisticas de reincidências, que é o usuário que teve a senha quebrada por 2 anos consecutivos, e esse funcionário você pode trabalhar com uma conscientização mais especifica.
Espero que tenham gostado das dicas, sei que não é nada muito novo, mas apesar disso eu realmente não vejo as empresas praticando esse tipo de teste com uma frequência estabelecida e gerando insumos que gerem um valor para o aumento da sua maturidade de segurança. Fica a dica!
Combater Fake News: Passo a passo para identificar um site de notícias verdadeiras
Com o crescente uso da internet pelas pessoas, precisamos ficar atentos aos conteúdos que encontramos no mundo digital, principalmente sobre notícias. Além disso, é de suma importância estarmos atentos para combater Fake News. Em anos de eleições, ou até mesmo quando alguma pessoa começa a ganhar notoriedade na sociedade, é comum vermos um número gigantesco de informações sobre elas serem compartilhadas. No entanto, muitas dessas notícias acabam não tendo um viés positivo. Ou seja, não são verdadeiras. Hoje, separamos algumas dicas para que você possa identificar se um site é seguro para você acompanhar suas notícias e informações.
Boa leitura!
O que são e como combater Fake News?
Antes de tudo, precisamos entender o que significa o termo Fake News. Por mais que seja um termo que ganhou muito mais relevância nos últimos cinco ou 10 anos, não se trata de uma novidade ou exclusividade dos meios digitais. As Fake News existem desde que a humanidade começou a se comunicar. E, se formos traduzir essas duas palavras para o português, teremos como resultado “Notícias Falsas”.
Além disso, elas são informações, ou melhor, desinformações criadas para ludibriar o leitor, ou até mesmo produzir algum conteúdo para atingir a imagem de uma pessoa. No entanto, o termo que abrange as ditas notícias falsas é mais amplo que somente a publicação de informações sem um cunho verdadeiro. Muitas vezes, é comum vermos pessoas compartilhando notícias de três, quatro ou até mesmo cinco anos atrás como se fosse algo novo. Isso também é uma forma de enganar o leitor, pois algumas pessoas não se prendem a data de publicação e acabam achando que é algo novo. Um local propício para a propagação dessas notícias são as Redes Sociais. Basta um clique em um link enviado por WhatsApp, ou visto do Facebook e Twitter que elas já começam a se espalhar. Precisamos ficar muito atentos a que tipo de informações estamos consumindo, evitar e combater Fake News é um dever de todos, e não somente dos jornalistas que trabalham com as notícias.
Como saber que um site é confiável?
Pois bem, se você acessou esse texto e chegou até aqui, sua principal curiosidade é saber como confiar em um site e saber que ele é seguro. Por mais que exista na internet uma infinidade de materiais explicando sobre o termo das notícias falsas e também falando como proteger seu computador e smartphone em navegações, uma atualização é sempre boa. Vamos a um breve passo a passo de como identificar, ou melhor, combater Fake News.
Passo 1: Verifique o domínio e extensão do site
Em algumas ocasiões, pessoas mal intencionadas acabam adquirindo um domínio parecido com o dos principais veículos de notícias. Isso é feito para enganar o seu eventual leitor. Todavia, precisamos ficar bem atentos às URLs que acessamos. Basta uma letrinha fora do local para identificarmos um site sem compromisso com a verdade. Um bom exemplo é o G1, se em algum momento você se deparar com um site escrito 1G, com as mesmas cores e padrão do veículo digital de notícias, tome cuidado, pois pode ser uma cilada. No entanto, existe uma outra dica dentro da verificação da extensão que pode ajudar a combater Fake News.
Caso a notícia que você esteja lendo tenha um cunho mais político, ou seja, saia direto de um órgão governamental, basta observar se ele tem a extensão .gov no final. Se for educacional, o .edu pode ser um importante aliado para saber sua veracidade.
Passo 2: Pesquise sobre o site e a notícia
Seja como for, pesquisa sobre o site em que você está acessando notícias. Uma dica muito valiosa é saber se ele tem algum vínculo com veículos de notícias conhecidos. Desconfie de sites que você nunca viu, ou que tenham uma linha editorial muito pesada. Receber links em grupos de Redes Sociais, ou até mesmo de algum parente desinformado pode ser uma grande cilada. Combater Fake News deve ser uma luta de todos. Além de causar a desinformação, muitos sites são criados para prejudicar a imagem de alguma pessoa. Ainda mais, cheque se aquilo que você recebeu é verdade. Coloque os principais tópicos da notícia no Google e veja se grandes veículos também estão abordando o tema. Bem como, tome cuidado com links encurtados. Eles podem ser um caminho sem volta para uma cilada na internet. Isso porque, além de estar consumindo um conteúdo falso, pode causar danos ao seu computador e smartphone. Ainda assim, é muito importante também analisar o conteúdo, a ortografia e a maneira como a notícia é passada. Tome muito cuidado com matérias chamativas, com muitos pontos de exclamação ou caixa alta no texto.
Passo 3: Pesquise sobre o autor
Toda notícia ou reportagem deve ser assinada, ou seja, conter o nome que a produziu. Pesquise sobre essa pessoa, busque saber quem ela é. A grande maioria dos jornalistas possui conta em Redes Sociais, procure sobre ele nelas, conheça-o, saiba sobre o que ele fala e como ele se comunica com as pessoas. Por exemplo, pegue o nome do autor, jogue no Google e pesquise sobre o que ele faz. Busque informações que sejam relevantes sobre ele, e se aquele conteúdo pode ser de sua autoria. Todavia, tome cuidado com os “autores fakes”. Em alguns sites, pessoas mal intencionadas podem pegar o nome de algum jornalista famoso e colocar como se fosse tele o texto. Pesquise se ele faz parte daquele site.
Passo 4: Cuidado com sua curiosidade
Eu entendo, muitas vezes nos deparamos com um link bastante atrativo e chamativo em nossas redes sociais ou grupos de amigos. O clique acontece quase que de uma forma involuntária. No entanto, precisamos ter muito cuidado com a nossa curiosidade. Em algumas ocasiões, é comum que as notícias falsas circulem e sejam feitas apenas para atrair as pessoas para um site que contenha vírus ou que possa roubar seus dados. Sendo assim, combater Fake News é um trabalho delicado demais. Porém, a curiosidade deve dar lugar à atenção. Analisar cada detalhe do post antes de clicar nele é de suma importância para não cair em uma armadilha virtual. Em outras palavras, voltamos aos tópicos anteriores, pesquise sobre quem escreveu e sobre o site, além de analisar se outros sites já estão falando sobre este assunto.
Passo 5: Encontre o Certificado de Segurança
O Certificado de Segurança, ou simplesmente SSL, tem como finalidade proteger a integridade do site e manter todos os dados que circulam por ele a salvo. Esse certificado trabalha por meio de códigos criptografados, e eles são capazes de identificar a origem dos dados. No entanto, muitas pessoas têm em mente que o SSL é importante apenas para sites de vendas de produtos. Porém, todos os outros conteúdos hospedados na web necessitam dele. Afinal, muitas vezes estamos conectados com nossos e-mails ou outras Redes Sociais, e esses dados podem ser coletados. Além de tudo isso, o certificado de segurança é importante para os rankings de busca no Google. E sabe por que isso é importante para combater Fake News? Caso você coloque o assunto da notícia nos buscadores e não encontre o site em questão, certamente ele pode ser falso. Por exemplo, se o site que você entrou tem o cadeado ao lado de sua URL, ele é seguro. Ou ainda, você pode utilizar plataformas de verificação para buscar mais informações.
E por fim…
Primeiramente, criar um passo a passo de como combater Fake News é muito importante. No entanto, é um trabalho maior do que apenas verificar, é uma ação completa. Buscar saber mais sobre os sites que estamos acessando, pesquisar sobre o autor e sobre a relevância dele no meio. Além disso, analisar o conteúdo e também se ele está com a ortografia correta. Ainda mais, ver se o site possui certificado de segurança, ou SSL. Tudo isso faz parte de uma rotina que deve ser criada para evitar a propagação das notícias falsas ou até mesmo de infectar seu computador ou smartphone com vírus.
O Gartner lança anulamente um relatório com as principais tendências de tecnologia estratégica, e o report deste ano destacam as tendências que irão gerar oportunidades e interrupções significativas nos próximos cinco a 10 anos. Selecionadas por seu potencial transformador, as tendências deste ano se enquadram em três temas: Centricidade nas pessoas, independência de localização e entrega resiliente. Os líderes de TI devem decidir que combinação dessas tendências gerará mais inovação e estratégia para sua empresa.
Centricidade nas pessoas: Apesar da pandemia ter mudado a forma como muitas pessoas trabalham e interagem com organizações, as pessoas ainda estão no centro de todos os negócios e precisam de processos digitalizados para operar no ambiente de hoje.
Independência de localização: O COVID-19 mudou para onde funcionários, clientes, fornecedores e organizações estejam fisicamente. Independência de localização requer uma mudança de tecnologia para suportar esta nova versão de negócios.
Entrega resiliente: seja uma pandemia ou recessão, a volatilidade existe no mundo.
CENTRICIDADE NAS PESSOAS
Internet of Behaviors (IoB): Aqui o Gartner descreve esse temos como a coleta de dados pessoais para serem processados e utilizados de volta para inflenciar no seu comportamento. Aqui entra uma questão social, ético e de priviacidade muito grande , mas que vem de forma crescente num mundo onde Big Data está acelerado.
Experiência total: Aqui é a junção da multiexperiência (MX), experiência do cliente (CX), experiência do funcionário (EX) e experiência do usuário (UX), e os vincula para criar uma melhor experiência geral. Muito na linha de cadê vez mais agregar vários dados e extrair informações com mais potencialidade
Melhorar a privacidade: Aqui o Gartner destaca 3 subtópicos: Criar um ambiente confiável, incluindo os terceiros, processamento e análise de forma descentralizada e por último a recuperação de informação de forma privada utilizando a transformação de dados e algoritmos antes do processamento ou análise da informação. Especilamente no Brasil, é o ano da LGPD e e esse tema de privacidade virá cadê vez mais forte.
INDEPENDÊNCIA DE LOCALIDADE
Cloud distribuida: Aqui o Gartner foca na questão da nuvem publica, que pode ajudar inclusive na questão de privacidade, já que seus dados podem estar armazenados em qualquer lugar do mundo de sua escolha, facilitando as leis de privacidade. Além disso ele destaca que a utilização das nuvens publicas ajudaram as empresas a amnterem suas operações com menor de depência de uma localidade física específica.
Operar de qualquer lugar: O modelo deve oferecer experiências únicas de valor agregado. Forner uma experiência digital contínua e escalável requer mudanças na infraestrutura de tecnologia, práticas de gestão, políticas de segurança e governança e funcionários e modelos de engajamento do cliente.
Cybersecurity mesh: A malha de cibersegurança é uma arquitetura distribuída abordagem de segurança cibernética escalável, flexível e confiável ao controle. Aqui eu destacaria o poder de elasticidade/escalação de operação de segurança, mediante as lições aprendidas nos modelos impostos pela pandemia de 2020.
ENTREGA RESILIENTE
Combinação de negócios inteligentes: Muitos processos de negócios eram muito frágeis para rapidamente se adaptar e eles simplesmente quebraram durante a pandemia. Durante o processo de reconstrução, os líderes devem projetar uma arquitetura que: • Permite um melhor acesso às informações • Pode aumentar essas informações com novos insights • É combinável, modular e pode mudar e responder mais rapidamente conforme as decisões são tomadas
Engenharia de IA: Os projetos de IA (Inteligência Artificial) muitas vezes falham devido a problemas de manutenção, escalabilidade e governança. No entanto, uma robusta engenharia de IA e estratégia irá facilitar o desempenho, escalabilidade, interpretabilidade e confiabilidade dos modelos de IA ao mesmo tempo em que oferece o valor total de Investimentos em IA.
Hyperautomação: é um processo no qual as empresas automatizam os processos de negócios e TI o quanto for possível, usando ferramentas como IA, aprendizado de máquina, software orientado a eventos, processo robótico, automação e outros tipos de ferramentas de automação. A hiperautomação é irreversível e inevitável. Tudo que pode e deve ser automatizado será automatizado.
MINHAS CONSIDERAÇÕES
Os itens que eu gostaria de destacar como apostas para esse ano de 2021 é a qestão da privicaidade onde leis de proteção de dados cada vêz mais operantes e em contrapartida a aposta na Internet do comportameto (IoB) onde cada vez mais nossos dados pessoais serão “vendidos” para anlise de empresas e governos.
Com relação a estratégia dos gestores de TI para esse ano, eu aposto fortemente na questão da hiperautomatização, onde deve-se sim acelar e apostar mais fichas na automatização das mais diversas tarfas que sejam possíveis. Por fim com a pandêmia acho que ficou claro que o modelo de trabalho remoto ou semipresencial veio para ficar para a maioria das empresas e nesse ano de 2021 as empresas precisam melhorar suas tecnolgias para oferecer a melhor forma e experiência e trabalho assim como reduzir seus custos operacionais nesse tipo de modelo.
Quem quiser let o relatório completo do Gartner, clique abaixo para download.
Olá galera, resolvi trazer um post bem completo que pode ajudar bastante a galera que se confundi com o emaranhado de sopa de letrinhas das cifras SSL/TLS e também ter um material bem completo sobre o tema.
INTRODUÇÃO
Primeiramente eu ínicio esse post dizendo que vejo muita gente, até mesmo profissionais de segurança, que confundem protocolo SSL com certificado SSL. São coisas destintas! Umas coisa é o certificado SSL, que é o famoso HTTPS que o site utiliza. Esse certificado naturalmente possui uma chave de assinatura (normalmente sha256) e uma chave publica (normalmente RSA 2048).
Aqui o foco é assunto é protocolo, que é como sua aplicação se comunica com o servidor.
TEORIA
Existem basicamente 2 tipos de protocolos utilizados, um é o SSL e o outro é o TLS.
SSL está depreciado, seja ele em qualquer versão (a ultima versão é a SSL 3). Inclusive ele aparece a algum tempo em ferramentas de scan, como o Nessus, como vulnerabilidade alta.
O protocolo SSL/TLS utilizam um pacote de criptografia. Este pacote é um conjunto de algoritmos de criptografia, cada um com uma função específica, e que juntos permitem comunicações criptografadas entre um cliente e um servidor. E como essa comunicação ocorre?
O servidor tem um conjunto de criptografia configurados que ele aceita.
O cliente envia ao servidor as versões de TLS / SSL, conjuntos de criptografia e métodos de compactação que ele suporta, em ordem de preferência (também conhecido como ClientHello ).
O servidor escolhe entre eles o pacote mais favorável para começar a criptografar os dados (também conhecido como ServerHello ).
O servidor envia seu certificado.
Com a verificação do certificado (e, portanto, da identidade do servidor), uma chave secreta denominada Master Secret é negociada , levando em consideração o conjunto de cifras escolhido.
O cliente envia uma mensagem criptografada ao servidor.
O servidor verifica se o MAC (Message Authentication Code , usado para autenticação) está correto e se a mensagem pode ser descriptografada corretamente.
O servidor responde à mensagem, que também é verificada pelo cliente.
FERRAMENTA
Bom, já aprendemos de forma sucinta como é feito a comunicação entre cliente/servidor. E como eu verifico que cifras um servidor está aceitando negociar?
Uma das ferramentas que eu mais gosto é o SSLCAN, que vem por padrão no Kali Linux. Se for um site externo e você não for um profissional com tanto conhecimento ou acesso a um kali ou linux qualquer, pode utilizar uma ferramenta totalmente online, chamada SSL LABS.
ENTENDENDO RESULTADO DO SSLSCAN (PACOTE DE CRIPTOGRAFIA)
Ao executar o sslscan (Ex: sslscan target -p 443) o resultado visto é algo parecido com isso:
Vamos entender agora o que é cada pedaço da suite de cifras:
Protocolo . Indica o tipo de protocolo a utilizar, como já comentei pode ser o SSL (já obsoleto) ou TLS, com as respectivas versões.
Algoritmo de troca de chave (Key Exchange) . Algoritmo a ser usado para compartilhar as chaves simétricas com as quais as comunicações serão criptografadas.
Assinatura digital . Verifica as identidades do cliente e do servidor durante a sessão. Neste ponto, deve ser mencionado que o algoritmo RSA pode funcionar como um algoritmo de troca de chave e uma assinatura digital.
Algoritmo de criptografia e o comprimento da chave . Algoritmos simétricos usados para criptografar a comunicação (com o comprimento correspondente de cada algoritmo).
Modo de criptografia . Estas são cifras de bloco. Seu uso depende do algoritmo de criptografia usado anteriormente.
Hash . Algoritmo de criptografia irreversível que verifica a integridade das mensagens.
Tamanho da curva elíptica . Esta opção não é obrigatória e depende do algoritmo de troca de chaves previamente escolhido. No exemplo acima eu coloquei 3 pontinhos pois essa cifra que escolhi de exemplo não tinha.
Agora segue uma tabela com os tipos possíveis para cada bloco desse que expliquei, pintei em amarelo o que está depreciado:
EXPLORAÇÕES – RISCO NA PRÁTICA
Abaixo vou elencar falhas divulgas que podem reforçar os problemas de se utilizar qualquer elemento desses que estão depreciados:
BEAST (Exploração do navegador contra SSL / TLS) – CVE-2011-3389
Descrição:
Permite que ataques MiTM obtenham informações de uma sessão usando SSL / TLS1.0.
Esta vulnerabilidade é muito complexa de explorar, pois requer força bruta para obter informações úteis.
É causado pelos vetores de inicialização TLS1.0 nas cifras CBC e RC4.
Recomendação: desative SSLv3, TLS1.0 e TLS1.1 no servidor.
CRIME (vazamento de informações de taxa de compressão facilitado) – CVE-2012-4929
Descrição:
É baseado no sequestro de sessões nos protocolos HTTPS e SPDY através do roubo de cookies de sessão, explorando a compressão HTTP com força bruta. Esta exploração é possível porque SSL / TLS e SPDY usam um algoritmo de compressão denominado DEFLATE, que elimina strings duplicadas durante a conexão entre o cliente e o servidor.
Apesar disso, a compactação TLS está atualmente desativada nos navegadores Chrome, Mozilla, Opera Safari e Internet Explorer, portanto, desativá-la no servidor ajudaria a proteger os usuários que usam navegadores desatualizados.
Recomendação: desative a compactação em TLS e HTTP no servidor.
BREACH (reconhecimento de navegador e exfiltração via compressão adaptativa de hipertexto) – CVE-2013-3587
Descrição:
É uma variante do ataque CRIME, que difere deste porque o BREACH se concentra no ataque a respostas HTTP, que usam compactação no nível HTTP (em vez de no nível TLS, como é o caso do CRIME). , que por sua vez é mais comum.
Recomendação: desative a compactação em TLS e HTTP no servidor.
FREAK (Factoring RSA Export Keys) – CVE-2015-0204
Descrição:
É especialmente focado em servidores que aceitam RSA_EXPORT em seus conjuntos de criptografia.
Consiste em interceptar as comunicações HTTPS entre o cliente e o servidor e forçar o servidor a usar criptografia obsoleta ou vulnerável (ou seja, fazer downgrade) para quebrar as chaves.
Recomendação: desative RSA_EXPORT e versões inferiores a TLS1.2
Heartbleed – CVE-2014-0160
Descrição:
Permite que um atacante leia a memória de um cliente ou servidor, podendo obter as chaves privadas de um servidor SSL e comprometendo a integridade do servidor e dos usuários que se conectam a ele, além de sua confidencialidade.
Ele explora a geração pseudo-aleatória de chaves que o algoritmo RC4 usa e, com ela, consegue obter os primeiros 100 bytes de uma conexão TLS / SSL.
Recomendação: Desative o uso do RC4.
LOGJAM – CVE-2015-4000
Descrição:
Possui uma lógica semelhante à vulnerabilidade FREAK já que ambos buscam downgrade do servidor, mas com a diferença que neste caso viola aqueles servidores que suportam DHE_EXPORT (devido a uma falha no protocolo TLS) obrigando-os a utilizar um grau menor de exportação. em conexões de 512 bits, que podem ser descriptografadas com relativa facilidade.
Recomendação: desative DHE_EXPORT e implemente Diffie-Hellman 2048 bits.
Lucky13 – CVE-2013-0169
Descrição:
Este ataque é mais teórico devido às condições que devem ser estabelecidas na configuração do servidor e ao grande número de requisições que devem ser feitas, explorando o uso de CBC (Cipher-Block-Chainning) e o cálculo de MAC.
Recomendação: Desative o uso de CBC.
POODLE – CVE-2014-3566
Descrição:
Parte disso, quando uma tentativa de conexão segura falha, ele tenta fazer a conexão novamente, mas com um protocolo de comunicação mais antigo. Dessa forma, um invasor pode causar intencionalmente erros de conexão em protocolos seguros como TLS 1.2, TLS1.1 e TLS1.0 e, assim, forçar o uso de SSL 3.0 para explorar a vulnerabilidade.
Recomendação: desative SSLv3, TLS1.0 e TLS1.1 no servidor.
SWEET32 – CVE-2016-2183
Descrição:
Isso tornaria mais fácil para um invasor remoto obter informações confidenciais devido a uma falha de criptografia DES / 3DES.
Um invasor pode realizar ataques MiTM capturando grandes quantidades de tráfego criptografado entre o servidor SSL / TLS e o cliente e recuperando os dados em texto não criptografado.
Recomendação: desative SSLv3, TLS1.0 e TLS1.1 no servidor.
RACCOON – CVE-2020-1968
Descrição:
Ele faz uso da troca de chaves Diffie-Hellman durante o handshake em TLS1.2 (e versões anteriores), para que ele descriptografe a conexão entre um cliente e o servidor.
A vulnerabilidade é encontrada na chave Premaster Secret usada na geração das chaves de criptografia na comunicação, que é usada como uma variável de entrada no KDF (Key Derivation Function). O KDF é baseado em hashes com diferentes perfis de tempo, de forma que essas medidas de tempo podem ajudar um invasor a gerar novas chaves secretas pré-mestre, encaminhando essa chave para o servidor para personificar um cliente em uma nova conexão.
Esse ataque é complexo de explorar, pois um grande número de solicitações deve ser feito para construir uma nova chave e, por sua vez, depende da configuração do comportamento de temporização do servidor .
Recomendação: Desative o uso de Diffie-Hellman para troca de chave (troca de chave DH) em TLS1.2 e versões anteriores.
Bom, acredito que aqui tenha um material bem completo. Gostaria de citar aqui o pessoal do Flu Project que me inspirou a construir este material, baseado em um post deles, 90% do mérito é deles 🙂
Mundo Tecnológico 