Olá pessoal, dessa vez um post mais curtinho. Estou disponibilizando aqui um script em Python que lê uma lista de ranges de IP, um range por linha e conta quantos IPs tem ao total.
O script pode ser útil quando receber um escopo de IPs em um pentest ou em um scan de vulnerabilidades e quiser saber ao todo quantos IPs tem.
Link para o script:
Olá! Pessoal, uma dica bacana que eu trago, apesar de utilizar uma técnica antiga mas que vejo poucas pessoas fazendo proativamente, que é a de força bruta em hashes do AD.
Você sabe se os funcionários estão realmente criando senhas boas? Como você mede isso? Não custa dizer, senha por si só já era a muito tempo, você sempre precisa combinar isso com um segundo fator. Mas sabemos que nas empresas não é 100% das coisas que costumam terem a possibilidade de exigir esse segundo fator e é ai que mora o perigo! Basta descobrir 1 senha e uma porta onde dê pra entrar somente com ela e pronto!
A sugestão que eu dou é que seja feito ao menos 1 vez no ano testes de força bruta nos hashes do AD para que você veja o quanto de conscientização você precisa trabalhar na empresa ou até mudar politicas. Eu desconheço um benchmarking de porcentagem de quebra de senha, mas pela minha experiência de anos fazendo isso eu diria para trabalhar com os seguinte valores:
Pegando os hashes
Para pegar os hashes no AD, existem diversas formas e ferramentas. Porém aqui estou no olhar de que é um teste acordado, onde alguem que tenha acesso ao AD irá extrair esses hashes. Para isso a forma mais simples na minha opnião é usando ntdsutil. Caso queira saber mais sobre outras ferramentas segue aqui um otimo material de referência:
Para executar o ntdsutil, basta alguem com privilégio de admin no AD rodar no CMD com privilegio elevado os seguintes comandos:
ntdsutil
activate instance ntds
ifm
create full C:\ntdsutil
quit
quit
Após executar o comando, serão geradas 2 pastas:
Active Directory e registry
Após feito o dump deverá transformar os arquivos no formato para a força bruta.
Para isso usaremos uma outra ferramenta, o secretsdump. O mesmo pode ser baixado clicando aqui:
https://github.com/SecureAuthCorp/impacket
Após instalado, segue a linha de comando:
secretsdump.py -system ARQUIVO_SYSTEM -ntds ARQUIVO_ntds.dit LOCAL
O arquivo que for gerado já está no formato correto para a tentativa de quebra.
Força Bruta
Para o ataque de força bruta efetivamente falando, a primeira coisa é decidir que tipo de ataque você quer fazer, se um ataque de dicionário ou de rainbow table.
Não vou me aprofundar aqui na explicação, mas basicamente o Rainbow Tables é uma tabela de hashes, ou seja, será feito um teste só de “cara crachá”, um teste de comparação. Já no ataque de dicionário você vai fazer processar o calculo de trasnformar cada palavra/senha que está no seu dicionário no formato de hash que está tentando quebrar e comparar.
A vantagem do rainbow table é a velocidade, que é infinitamente mais rápido. Em contrapartida você vai precisar de muito mais espaço em disco pois você já vai ter que gerar sua rainbow table com as regras aplicadas. Iremos falar logo a frente sobre regras.
O dicionário é mais lento mas tem a vantagem de ocupar menos espaço e de ser maliavél, você aplica as regras que quiser no tempo que desejar com mais facilidade. Para os meus testes eu costumo usar mais ataque de dicionario e é baseado nele que vou continuar minha explicação.
Após escolhido a técnica, você deve escolher a ferramenta. Existem algumas, hashcat, john, hydra. Eu considero o hashcat como a melhor ferramenta disparado. Não vou me alongar aqui nos motivos, apenas acreditem em mim 🙂 rsrsrs !
Proximo passo é o hardware! Sim caro leitor, tentar rodar um teste de força bruta num processador Celeron da vida você vai sofrer!
O ideal é que você tenha um equipamento com uma placa gráfica, assim você pode inclusive somente usar o poder de processamento da sua placa de vídeo e seu computador fica com o processador intacto. Você também pode optar por pegar uma super máquina em cloud, numa AWS da vida e afins, usar só por tempo determinado dessa atividade, as vezes o custo compensa.
Eu no caso costumo fazer os testes em um computador da minha atual empresa que possuia seguinte configuração:
NVIDIA Quadro M2200 – 4GB GDDR5
Windows 10
Desempenho: 8256.5 Milhões de Hashes por segundo
Uma dica, o hashcat é todo por interface de linha de comando. Mas você pode baixar o hashkiller, uma ferramenta que vai te prover uma interface gráfica para o seu hashcat e facilitar muito a sua vida.
https://hashkiller.io/download
Você já tem quase tudo que precisa. Agora falta o mais importante: O Dicionário!. O seu sucesso vai depender praticamente disso, de ter um bom dicionário!
Aonde eu consigo bons dicionarios? Eu prefiro dizer que o melhor dicionário é aquele que você mesmo cria! Precisa dedicar tempo, paciência e criativade. Em linhas gerias dicas que eu dou: busque por dicinário aurelio, nomes de time de futebol, girias, palavrões, nomes, sobrenomes, usar os proprios logins e nomes dos proprios funcionários que constarem no proprio dump do AD, nome de filme, nome de personagem, desenho, frases de religião, nome de deuses, nomes de anjos, cidades, paises, comidas,marcas, cor, animais, nome de sistemas da sa empresa, palavras usuais da empresa, nome da empresa e de suas filiais/join ventures e por ai vai. Coloque tudo em um TXT, tudo em caixa baixa de preferência. Sanitize caracteres como Ç ou assentuações. Sanitize também as linhas duplicadas. Complemente seu dicionário com dicionários de internet. Um bem famoso é o rockyou, que já vem no Kali.
DICA: busque por wordlist no github, e você vai achar várias! Pode buscar por wordlist PT-BR que vai achar bastante em português também.
Depois de montado o seu dicionário basta fazer os testes combinando o seu dicionário com as rules do hashcat, além disso utilizar a técnica de apendar arquivos na frente e atrás funcionam muito bem, por exemplo, você pode criar um segundo arquivo TXT com as palavras: 123, 321, @123, @321 .. Aqui sua imaginação é quem manda. E mandar combinar o dicionario que você montou com esse segundo TXT.
Você pode encontrar boas rules no github também. Eu já acho as que vem no hashcat muito boas.
Eu considero pela minha experiência que um bom dicionário é aquele que é rico de palavras da cultura do pais do usuário que você está quebrando a senha + a maior quantidade de palavras possíveis que possam ser usuais + boas regras e boas combinações + um certo entedimento de como as pessoas pensam, como geralmente as pessoas criaram as suas senhas e isso só a experiência ao longo do tempo irá lhe responder, a combinação de todos esses fatores lhe trará sucesso na sua quebra de senhas.
Analisando os resultados
Sugiro que na etapa anterior você anote o tempo de execução de cada tipo de teste que você fizer para que você gere uma métrica do tipo: Em X horas foi possivel quebrar Y senhas.
Com as senhas quebradas, o proximo ponto é sanitizar a sua base. Verificar dos hashes quebrados, quais usuarios são contas habilitadas e quais estão desabilitadas. Quebrar senha de usuario desabilitado não é muito útil, e portanto deveria ser expurgado da sua contabilização. Após sanitizar sua lista, ai sim você poderá dar inicio a sua analise estatistica.
Com as senhas quebradas em mãos, coloque todas as senhas em um arquivo txt. Uma ferramenta excelente para fazer analise estatistica das senhas é o PIPAL:
https://github.com/digininja/pipal
Se algum leitor conhecer alguma parecida, por favor inclusive peço me indicar, mas essa é a melhor que conheço. Ela vai gerar dados bem riscos, como top 10 senhas entre outros.
Por fim, gere uma apresentação com os gráficos e apresente a quem seja de interesse, dependendo da % de senhas quebradas, tome as medidas de proteção que melhores sem encaixarem na sua estratégia. Ao se adotar isso como um processo continuo, você poderá também gerar estatisticas de reincidências, que é o usuário que teve a senha quebrada por 2 anos consecutivos, e esse funcionário você pode trabalhar com uma conscientização mais especifica.
Espero que tenham gostado das dicas, sei que não é nada muito novo, mas apesar disso eu realmente não vejo as empresas praticando esse tipo de teste com uma frequência estabelecida e gerando insumos que gerem um valor para o aumento da sua maturidade de segurança. Fica a dica!
Combater Fake News: Passo a passo para identificar um site de notícias verdadeiras
Com o crescente uso da internet pelas pessoas, precisamos ficar atentos aos conteúdos que encontramos no mundo digital, principalmente sobre notícias. Além disso, é de suma importância estarmos atentos para combater Fake News.
Em anos de eleições, ou até mesmo quando alguma pessoa começa a ganhar notoriedade na sociedade, é comum vermos um número gigantesco de informações sobre elas serem compartilhadas.
No entanto, muitas dessas notícias acabam não tendo um viés positivo. Ou seja, não são verdadeiras.
Hoje, separamos algumas dicas para que você possa identificar se um site é seguro para você acompanhar suas notícias e informações.
Boa leitura!
O que são e como combater Fake News?
Antes de tudo, precisamos entender o que significa o termo Fake News. Por mais que seja um termo que ganhou muito mais relevância nos últimos cinco ou 10 anos, não se trata de uma novidade ou exclusividade dos meios digitais.
As Fake News existem desde que a humanidade começou a se comunicar. E, se formos traduzir essas duas palavras para o português, teremos como resultado “Notícias Falsas”.
Além disso, elas são informações, ou melhor, desinformações criadas para ludibriar o leitor, ou até mesmo produzir algum conteúdo para atingir a imagem de uma pessoa.
No entanto, o termo que abrange as ditas notícias falsas é mais amplo que somente a publicação de informações sem um cunho verdadeiro.
Muitas vezes, é comum vermos pessoas compartilhando notícias de três, quatro ou até mesmo cinco anos atrás como se fosse algo novo. Isso também é uma forma de enganar o leitor, pois algumas pessoas não se prendem a data de publicação e acabam achando que é algo novo. Um local propício para a propagação dessas notícias são as Redes Sociais. Basta um clique em um link enviado por WhatsApp, ou visto do Facebook e Twitter que elas já começam a se espalhar.
Precisamos ficar muito atentos a que tipo de informações estamos consumindo, evitar e combater Fake News é um dever de todos, e não somente dos jornalistas que trabalham com as notícias.
Como saber que um site é confiável?
Pois bem, se você acessou esse texto e chegou até aqui, sua principal curiosidade é saber como confiar em um site e saber que ele é seguro.
Por mais que exista na internet uma infinidade de materiais explicando sobre o termo das notícias falsas e também falando como proteger seu computador e smartphone em navegações, uma atualização é sempre boa.
Vamos a um breve passo a passo de como identificar, ou melhor, combater Fake News.
Passo 1: Verifique o domínio e extensão do site
Em algumas ocasiões, pessoas mal intencionadas acabam adquirindo um domínio parecido com o dos principais veículos de notícias. Isso é feito para enganar o seu eventual leitor.
Todavia, precisamos ficar bem atentos às URLs que acessamos. Basta uma letrinha fora do local para identificarmos um site sem compromisso com a verdade.
Um bom exemplo é o G1, se em algum momento você se deparar com um site escrito 1G, com as mesmas cores e padrão do veículo digital de notícias, tome cuidado, pois pode ser uma cilada.
No entanto, existe uma outra dica dentro da verificação da extensão que pode ajudar a combater Fake News.
Caso a notícia que você esteja lendo tenha um cunho mais político, ou seja, saia direto de um órgão governamental, basta observar se ele tem a extensão .gov no final. Se for educacional, o .edu pode ser um importante aliado para saber sua veracidade.
Passo 2: Pesquise sobre o site e a notícia
Seja como for, pesquisa sobre o site em que você está acessando notícias. Uma dica muito valiosa é saber se ele tem algum vínculo com veículos de notícias conhecidos.
Desconfie de sites que você nunca viu, ou que tenham uma linha editorial muito pesada. Receber links em grupos de Redes Sociais, ou até mesmo de algum parente desinformado pode ser uma grande cilada.
Combater Fake News deve ser uma luta de todos. Além de causar a desinformação, muitos sites são criados para prejudicar a imagem de alguma pessoa.
Ainda mais, cheque se aquilo que você recebeu é verdade. Coloque os principais tópicos da notícia no Google e veja se grandes veículos também estão abordando o tema.
Bem como, tome cuidado com links encurtados. Eles podem ser um caminho sem volta para uma cilada na internet. Isso porque, além de estar consumindo um conteúdo falso, pode causar danos ao seu computador e smartphone.
Ainda assim, é muito importante também analisar o conteúdo, a ortografia e a maneira como a notícia é passada. Tome muito cuidado com matérias chamativas, com muitos pontos de exclamação ou caixa alta no texto.
Passo 3: Pesquise sobre o autor
Toda notícia ou reportagem deve ser assinada, ou seja, conter o nome que a produziu. Pesquise sobre essa pessoa, busque saber quem ela é. A grande maioria dos jornalistas possui conta em Redes Sociais, procure sobre ele nelas, conheça-o, saiba sobre o que ele fala e como ele se comunica com as pessoas.
Por exemplo, pegue o nome do autor, jogue no Google e pesquise sobre o que ele faz. Busque informações que sejam relevantes sobre ele, e se aquele conteúdo pode ser de sua autoria.
Todavia, tome cuidado com os “autores fakes”. Em alguns sites, pessoas mal intencionadas podem pegar o nome de algum jornalista famoso e colocar como se fosse tele o texto.
Pesquise se ele faz parte daquele site.
Passo 4: Cuidado com sua curiosidade
Eu entendo, muitas vezes nos deparamos com um link bastante atrativo e chamativo em nossas redes sociais ou grupos de amigos. O clique acontece quase que de uma forma involuntária.
No entanto, precisamos ter muito cuidado com a nossa curiosidade. Em algumas ocasiões, é comum que as notícias falsas circulem e sejam feitas apenas para atrair as pessoas para um site que contenha vírus ou que possa roubar seus dados.
Sendo assim, combater Fake News é um trabalho delicado demais. Porém, a curiosidade deve dar lugar à atenção.
Analisar cada detalhe do post antes de clicar nele é de suma importância para não cair em uma armadilha virtual.
Em outras palavras, voltamos aos tópicos anteriores, pesquise sobre quem escreveu e sobre o site, além de analisar se outros sites já estão falando sobre este assunto.
Passo 5: Encontre o Certificado de Segurança
O Certificado de Segurança, ou simplesmente SSL, tem como finalidade proteger a integridade do site e manter todos os dados que circulam por ele a salvo.
Esse certificado trabalha por meio de códigos criptografados, e eles são capazes de identificar a origem dos dados.
No entanto, muitas pessoas têm em mente que o SSL é importante apenas para sites de vendas de produtos. Porém, todos os outros conteúdos hospedados na web necessitam dele.
Afinal, muitas vezes estamos conectados com nossos e-mails ou outras Redes Sociais, e esses dados podem ser coletados.
Além de tudo isso, o certificado de segurança é importante para os rankings de busca no Google.
E sabe por que isso é importante para combater Fake News?
Caso você coloque o assunto da notícia nos buscadores e não encontre o site em questão, certamente ele pode ser falso.
Por exemplo, se o site que você entrou tem o cadeado ao lado de sua URL, ele é seguro. Ou ainda, você pode utilizar plataformas de verificação para buscar mais informações.
E por fim…
Primeiramente, criar um passo a passo de como combater Fake News é muito importante. No
entanto, é um trabalho maior do que apenas verificar, é uma ação completa.
Buscar saber mais sobre os sites que estamos acessando, pesquisar sobre o autor e sobre a relevância dele no meio. Além disso, analisar o conteúdo e também se ele está com a ortografia correta.
Ainda mais, ver se o site possui certificado de segurança, ou SSL.
Tudo isso faz parte de uma rotina que deve ser criada para evitar a propagação das notícias falsas ou até mesmo de infectar seu computador ou smartphone com vírus.
Olá galera, resolvi trazer um post bem completo que pode ajudar bastante a galera que se confundi com o emaranhado de sopa de letrinhas das cifras SSL/TLS e também ter um material bem completo sobre o tema.
INTRODUÇÃO
Primeiramente eu ínicio esse post dizendo que vejo muita gente, até mesmo profissionais de segurança, que confundem protocolo SSL com certificado SSL. São coisas destintas! Umas coisa é o certificado SSL, que é o famoso HTTPS que o site utiliza. Esse certificado naturalmente possui uma chave de assinatura (normalmente sha256) e uma chave publica (normalmente RSA 2048).
Aqui o foco é assunto é protocolo, que é como sua aplicação se comunica com o servidor.
TEORIA
Existem basicamente 2 tipos de protocolos utilizados, um é o SSL e o outro é o TLS.
SSL está depreciado, seja ele em qualquer versão (a ultima versão é a SSL 3). Inclusive ele aparece a algum tempo em ferramentas de scan, como o Nessus, como vulnerabilidade alta.
O protocolo SSL/TLS utilizam um pacote de criptografia. Este pacote é um conjunto de algoritmos de criptografia, cada um com uma função específica, e que juntos permitem comunicações criptografadas entre um cliente e um servidor. E como essa comunicação ocorre?
FERRAMENTA
Bom, já aprendemos de forma sucinta como é feito a comunicação entre cliente/servidor. E como eu verifico que cifras um servidor está aceitando negociar?
Uma das ferramentas que eu mais gosto é o SSLCAN, que vem por padrão no Kali Linux. Se for um site externo e você não for um profissional com tanto conhecimento ou acesso a um kali ou linux qualquer, pode utilizar uma ferramenta totalmente online, chamada SSL LABS.
ENTENDENDO RESULTADO DO SSLSCAN (PACOTE DE CRIPTOGRAFIA)
Ao executar o sslscan (Ex: sslscan target -p 443) o resultado visto é algo parecido com isso:
Vamos entender agora o que é cada pedaço da suite de cifras:
Agora segue uma tabela com os tipos possíveis para cada bloco desse que expliquei, pintei em amarelo o que está depreciado:
EXPLORAÇÕES – RISCO NA PRÁTICA
Abaixo vou elencar falhas divulgas que podem reforçar os problemas de se utilizar qualquer elemento desses que estão depreciados:
BEAST (Exploração do navegador contra SSL / TLS) – CVE-2011-3389
CRIME (vazamento de informações de taxa de compressão facilitado) – CVE-2012-4929
BREACH (reconhecimento de navegador e exfiltração via compressão adaptativa de hipertexto) – CVE-2013-3587
FREAK (Factoring RSA Export Keys) – CVE-2015-0204
Heartbleed – CVE-2014-0160
Bar Mitzvah – CVE-2015-2808
LOGJAM – CVE-2015-4000
Lucky13 – CVE-2013-0169
POODLE – CVE-2014-3566
SWEET32 – CVE-2016-2183
RACCOON – CVE-2020-1968
Bom, acredito que aqui tenha um material bem completo. Gostaria de citar aqui o pessoal do Flu Project que me inspirou a construir este material, baseado em um post deles, 90% do mérito é deles 🙂
Como se escreve [óculos] em [alemão]
Dizer [que horas são] em [alemão]
O que significa [aracnofobia]
Marido de [Calista Flockhart]
Somar [50] + [20]
Dividir [50] por [5]
[10] por cento de [500]
Raiz quadrada de [126]
Estado do voo [IB376]
Voo número [IB376]
Voos para [Miami]
YouTube [como fazer lasanha]
Procurar no YouTube [Giovana derrubou o forninho]
Fonte: Techmundo e AndroidPit
O Instituto Coaliza está com uma pagina muito bacana, com varias cartilhas que podem ser uteis. Veja texto retirado do propio site:
Nesse espaço você encontrará cartilhas sobre o combate ao Cyberbullying, Compras Seguras na Internet, Segurança da Informação, Direitos Humanos e muito mais. Faça o download gratuitamente e compartilhe o link com seus familiares e amigos.
Link: http://www.coaliza.org.br/cartilhas-de-orientacao-e-conscientizacao/
Usuários do Facebook podem utilizar a extensão para navegadores CryptoCat para iniciar conversas criptografadas com seus contatos. Para que a ferramenta funcione, é necessário que seu amigo também instale o recurso. A criptografia impede que uma conversa seja visualizada em caso de invasões da sua conta e, também, impede que elas fiquem registradas como mensagens comuns do Facebook. Veja como conversar em “segredo” na rede social e se sentir mais seguro no bate-papo.
Passo 1. Baixe a extensão para web do CryptoCat no TechTudo Downloads para Google Chrome . Instale no navegador e abra o CryptoCat em “Aplicativos”;
Fonte:Techtudo
ImageCacheViewer é um novo utilitário que varre o cache do seu browser (Internet Explorer, Firefox ou Chrome), e lista as imagens exibidas nos sites que você visitou recentemente.
Para cada arquivo de imagem em cache, a seguinte informação é exibida: URL da imagem, o navegador da Web que foi usado para visitar a página, tipo de imagem, data / hora da imagem, tempo de navegação, e o tamanho do arquivo.
Ao selecionar um item de cache no painel superior de ImageCacheViewer, a imagem é exibida no painel inferior, e você pode copiar a imagem para a área de transferência pressionando Ctrl + M.
Download this new tool from this Web page.
Você sabia que o site do Youtube é repleto de truquezinhos? Pois é, você pode testar cada um deles. Confira no vídeo.
https://www.youtube.com/watch?v=IRF2QFe2JdQ#t=104
Para relembrar:
1) Use the force Luke
2) 1983
3) / Geek Week
4) Beam me up Scotty
5) &pow=1&nohtml5=1
6) Doge meme
Para o pessoal que vive procurando coisas legais e focadas em segurança, eu gostaria de listar alguns dos canas de S.I. mais legais do youtube, mas todos em inglês:
São eles:
Fonte:CorujadeTI
Mundo Tecnológico 