CEH – Ethical Hacking – Parte 2
Fala galera! No post de hoje, dando continuidade a série CEH, iremos ver a segunda parte do primeiro domínio de conhecimento cobrado na certificação, Ethical Hacking. No próximo post já entraremos no segundo domínio de conhecimento que é o Footprinting e Reconhecimento, onde as informações já passam a ser um pouco mais técnicas. Estou tentando deixar os posts da forma mais completa possível, mas sempre tem algo que podemos melhorar um pouco e para isso eu conto com a colaboração de vocês. Os comentários sempre são bem vindos 🙂
Caso você ainda não tenha visto os outros posts da série CEH, recomendo fortemente a leitura antes de continuar aqui. Para checar acesse:
CEH – Ethical Hacking – Parte 1
O que é o Ethical Hacking
Ethical hacking é a prática de empregar habilidades de SI para ajudar as organizações no processo de teste de segurança de seus ativos. White hats, também chamados de analistas de segurança ou ethical hackers, são as pessoas que realizam o ethical hacking. Hoje em dia a maioria das organizações estão contratando esses proficionais para ajudá-las a aumentar o nível de segurança cibernética.
Esses analistas realizam o hacking de maneira ética, com a permisão do responsável pela rede/sistema e sem a intenção de causar prejuízo ou ganho financeiro. Após a realização do teste, eles apresentam um relatório apontando todas as vulnerabilidades encontradas e as recomendações de correção. Aumentando com isso a segurança das empresas. O Ethical hacker usa as mesmas ferramentas, truques e técnicas tipicamente utilizadas por um atacante para verificar a existência de vulnerabilidades exploráveis.
Hoje o termo “hacker” está associado com atividades ilegais e sem ética. Existe um debate contínuo de quando o hacking pode ser ético ou não, dado o fato de que acesso não autorizado a qualquer sistema é um crime. Considere o seguinte:
O substantivo “hacker” refere-se a uma pessoa que gosta de aprender os detalhes dos sistemas computacionais. O verbo “hack” significa desenvolver soluções rápidas ou realizar engenharia reversa de programas existentes para torná-lo melhor e mais eficiente. O termo “cracker” e “atacante” refere-se a pessoa que aplica suas habildiades para propósitos ofensivos. o termo “ethical hacker” refere-se a profissionais de segurança que aplicam suas habildiades para propósitos defensivos.
Políticas da segurança da informação
Uma política de segurança é um documento ou conjunto de documentos que descrevem os controles de segurança que devem ser implementados na empresa em alto nível para proteger a rede organizacional de ataques de dentro e de fora.
Este documento define a arquitetura completa da segurança de uma organização e o documento inclui objetivos claros, metas, regras e regulamentos, procedimentos formais e assim por diante. Ele menciona claramente os ativos a serem protegidos e as pessoas que podem logar e acessar sites, quem pode visualizar os dados selecionados, bem como as pessoas que têm permissão para alterar os dados e etc.
Sem essas políticas, é impossível proteger a empresa de possíveis processos judiciais, perda de receita e assim por diante. As políticas de segurança são à base da infraestrutura de segurança. Estas políticas asseguram e salvaguardam os recursos de informação de uma organização e fornecem proteção legal para a organização.
Estas políticas são benéficas, uma vez que ajudam a trazer a consciência do pessoal que trabalha na organização para trabalhar em conjunto para garantir a sua comunicação, bem como minimizar os riscos de falhas de segurança através de erros “de fator humano”, tais como a divulgação de informações sensíveis a fontes não autorizadas ou desconhecidas, uso indevido de internet, etc.
Além disso, essas políticas oferecem proteção contra-ataques cibernéticos, ameaças maliciosas, de inteligência estrangeira e assim por diante. Elas principalmente abordam a segurança física, segurança de rede, autorizações de acesso, proteção contra vírus e recuperação de desastres.
Os objetivos das políticas de segurança incluem:
- Manter um esboço para a gestão e administração da segurança da rede.
- Proteção dos recursos de computação da organização.
- Eliminação da responsabilidade legal dos empregados ou terceiros.
- Garantir a integridade dos clientes e evitar desperdício de recursos da empresa de computação.
- Evitar modificações não autorizadas de dados.
- Reduzir os riscos causados pelo uso ilegal dos recursos do sistema e perda de sensibilidade, dados confidenciais e propriedade potencial.
- Diferenciar os direitos de acesso de um usuário.
- Proteger informações confidenciais, proprietárias de roubo, mau uso ou divulgação não autorizada.
A seguir estão alguns exemplos de políticas de segurança que são criados, aceitas e utilizadas por organizações em todo o mundo para proteger seus ativos e recursos importantes.
Política de uso aceitável – Define o uso aceitável de recursos do sistema.
Política de conta de usuário – Define o processo de criação da conta e autoridade, direitos e responsabilidades de contas de usuário.
Política de acesso remoto – Define quem pode ter acesso remoto, e define o meio de acesso e controles de segurança de acesso remoto.
Política de proteção da informação – Define os níveis de sensibilidade da informação, quem pode ter acesso, como é armazenado e transmitido e como ele deve ser excluído dos meios de armazenamento.
Política de gestão de firewall – Define o acesso, gerenciamento e monitoramento de firewalls na organização.
Política de acesso especial – Essa política define os termos e condições de concessão de acesso especial aos recursos do sistema.
Política de conexão de rede – Define quem pode instalar novos recursos na rede, aprovar a instalação de novos dispositivos, as alterações na rede de documentos, etc.
Política de segurança de email – Criado para governar o uso adequado do email corporativo.
Política de senha – Fornece diretrizes para o uso de proteção de senha forte sobre os recursos da organização.
Tipos de políticas de segurança
Uma política de segurança é um documento que contém informações sobre a maneira como a empresa planeja proteger seus ativos de informação contra ameaças conhecidas e desconhecidas. Essas políticas ajudam a manter a confidencialidade, disponibilidade e integridade das informações. Os quatro principais tipos de políticas de segurança são as seguintes:
Política promíscua: Com uma política promíscua, não há nenhuma restrição no acesso à Internet. Um usuário podem acessar qualquer site, fazer download de qualquer aplicativo e acessar um computador ou uma rede de um local remoto.
Embora isso possa ser útil em negócios sociais em que as pessoas que viajam ou trabalham nas filiais precisam acessar as redes corporativas, muitos malwares, vírus e trojans estão presentes na Internet. Devido ao acesso livre à Internet, estes malwares podem vir como anexos sem o conhecimento do usuário. Os administradores de rede devem estar extremamente alerta se este tipo de política for escolhida.
Política permissiva: Em uma política permissiva, a maioria do tráfego da Internet é aceito, mas vários serviços e ataques perigosos conhecidos são bloqueados. Como apenas os ataques e exploits conhecidos estão bloqueados é impossível para os administradores acompanharem o fluxo de descobertas de novas vulnerabilidades e ataques. Os administradores irão sempre sofrer com novos ataques e exploits.
Política prudente: A política prudente começa com todos os serviços bloqueados. O administrador permite os serviços seguros e necessários individualmente. Isso proporciona uma máxima segurança. Tudo, assim como as atividades do sistema e de rede, é registrado.
Política paranoica: Em uma política paranoica, tudo é proibido. Há conexão com a Internet ou uso severamente limitada a internet. Devido a estas restrições excessivamente severas, os usuários muitas vezes tentam encontrar formas de burlar essas restrições.
Enterprise information security architecture – EISA
Enterprise information security architecture é uma parte da arquitetura empresarial com foco em segurança da informação em toda a empresa. O nome indica uma diferença que não pode existir entre as pequenas, médias e grandes organizações.
Enterprise information security architecture é a prática de aplicar um método abrangente e rigoroso para descrever uma estrutura e comportamento atual e/ou futuro para processos de segurança de uma organização, sistemas de segurança da informação, pessoal e subunidades organizacionais, de modo que eles se alinham com as metas principais e direção estratégica da organização.
Embora muitas vezes associada estritamente com a tecnologia de segurança da informação, refere-se de forma mais ampla para a prática de otimização de negócios em que aborda a arquitetura de segurança empresarial, gestão de desempenho e arquitetura de processos de segurança.
Arquitetura corporativa de segurança da informação está se tornando uma prática comum no seio das instituições financeiras ao redor do globo. O objetivo principal de criar uma arquitetura de segurança de informação empresarial é garantir que a estratégia de negócios e segurança de TI esteja alinhada. Como tal, a arquitetura de segurança de informação empresarial permite a rastreabilidade, desde a estratégia de negócio até a tecnologia subjacente.
Análise de vulnerabilidade
Uma avaliação de vulnerabilidade é uma auditoria interna da segurança da rede e sistema. Uma avaliação de vulnerabilidade tipicamente começará com uma fase de reconhecimento, durante a qual são coletados dados importantes referentes à rede e aos sistemas alvo.
Esta fase levará à fase de prontidão do sistema, onde o alvo é checado e todas as suas vulnerabilidades conhecidas. A fase de prontidão culmina na fase do relatório, na qual os resultados são classificados em risco alto, médio e baixo e métodos são discutidos para melhorar a segurança (ou para minimizar o risco de vulnerabilidade) do alvo.
Em outras palavras, a análise de vulnerabilidade se limita na na identificação das vulnerabilidades do sistema/rede. Nesse teste o analista não procegue nas fases comuns de um pentest (Reconnaissance, Scanning, Gaining access, Maintaining access e Clearing tracks), ele para na segunta etapa que é a de scanning, onde ele roda um scanner de vulnerabilidades da rede/sistema e gera um relatório das vulnerabilidades encontradas. Nesse tipo de teste o analista não explora as vulnerabilidades encontradas para saber se é um falso positivo ou não, o que ocorreria caso fosse um pentest.
O que é penetration testing?
Um teste de penetração, ou pentest, é um ataque à um sistema ou infraestrutura que procura por falhas de segurança, potencialmente ganhando acesso à recursos e dados. Um teste de penetração não vai apenas apontar as vulnerabilidades encontradas, mas vai também explorar e documentar como essas vulnerabilidades podem ser exploradas. Os resultados são entregues em um relatório altamente compreensível ao gerenciamento executivo e audiências técnicas.
Tipos de pentesting
Os testes de intrusão podem ser realizados de várias maneiras. A diferença mais comum é a quantidade de detalhes da implementação do sistema a ser testado que estão disponíveis para os pentesters.
O Black Box preta assume que não existe qualquer conhecimento prévio da infraestrutura a ser testada. Sendo que o primeiro teste deve determinar a localização e extensão dos sistemas antes de iniciar a análise.
O teste Gray Box assume que o pentester possui conhecimento limitado da infraestrutura a ser testada.
O teste White Box assume que o pentester possui total conhecimento da infraestrutura a ser testada, incluindo o diagrama da rede, endereçamento IP e qualquer informação complementar.
PCI-DSS
O Payment Card Industry Security Standards Council (PCI-SSC) foi fundado pela American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc., como um fórum global para a disseminação de padrões de segurança na proteção de dados de pagamento e define o PCI Data Secutity Standart (PCI-DSS).
O PCI específica recomendações mínimas de segurança obrigatórias para todas as empresas que participam da rede de captura de pagamento com cartões, o comércio e prestadores de serviços que processam, armazenam e/ou transmitem eletronicamente dados do portador do cartão de crédito.
ISO/IEC 27001:2013
ISO/IEC 27001:2013 é uma norma de segurança da informação que foi publicada no dia 25 de setembro de 2013. Ela substitui a ISO/IEC 27001:2005 e é publicado pela Organização Internacional de Normalização (ISO) e da Comissão Eletrotécnica Internacional (IEC).
É uma especificação para um sistema de gestão de segurança da informação (ISMS). Organizações que cumpram a norma podem ser certificadas em conformidade por um organismo de certificação independente e credenciadas na conclusão bem sucedida de uma auditoria de conformidade formal. Ela especifica os requerimentos para determinar, implementar, manter e melhorar constantemente um sistema de gerenciamento de segurança da informação dentro do contexto da organização.
HIPAA
O HIPAA (Lei de Portabilidade e Responsabilidade de Seguros de Saúde) tornou a proteção de informações de saúde uma responsabilidade legal nos Estados Unidos desde 1996, ela oi promulgada pelo Congresso dos Estados Unidos e assinada pelo presidente Bill Clinton. Como parte desta legislação, foram estabelecidas regras de privacidade e segurança que especificam as proteções que devem ser implementadas para garantir a confidencialidade, a integridade e a disponibilidade das Informações protegidas de saúde (PHI) on-line.
SOX
A lei Sarbanes-Oxley é uma lei estadunidense, assinada em 30 de julho de 2002 pelo senador Paul Sarbanes e pelo deputado Michael Oxley. Motivada por escândalos financeiros corporativos, essa lei foi redigida com o objetivo de evitar o esvaziamento dos investimentos financeiros e a fuga dos investidores causada pela aparente insegurança a respeito da governança adequada das empresas.
A lei Sarbanes-Oxley, apelidada de Sarbox ou ainda de SOX, visa garantir a criação de mecanismos de auditoria e segurança confiáveis nas empresas, incluindo ainda regras para a criação de comitês encarregados de supervisionar suas atividades e operações, de modo a mitigar riscos aos negócios, evitar a ocorrência de fraudes ou assegurar que haja meios de identificá-las quando ocorrem, garantindo a transparência na gestão das empresas.
DMCA
Digital Millennium Copyright Act, conhecido como DMCA é uma lei dos Estados Unidos da América sobre direito autoral, que criminaliza não só a infração em si, mas também a produção e a distribuição de tecnologia que permita evitar as medidas de proteção aos direitos do autor. Além disso, ela aumenta as penas por infrações de direitos autorais cometidas via Internet.
Aprovada em 12 de outubro de 1998 por unanimidade no Senado dos Estados Unidos e sancionada pelo presidente Bill Clinton em 28 de outubro de 1998, a DMCA alterou a legislação dos EUA para ampliar o alcance dos direitos de autor, ao mesmo tempo em que limitou a responsabilidade dos prestadores de serviços on-line sobre violações de direitos autorais cometidas por seus usuários.
FISMA
FISMA define um framework para a gestão da segurança da informação que deve ser seguido por todos os sistemas de informação utilizados ou acionados por uma agência do governo federal dos EUA sobre os poderes executivos ou legislativos ou por um contratante ou outra organização em nome de uma agência federal nesses ramos. Este framework é ainda definido pelas normas e diretrizes desenvolvidas pelo NIST. Isso inclui:
- Padrão para categorização da informação e sistema de informação por impacto.
- Padrão para requerimento mínimo de segurança para informação e sistemas de informação.
- Guia para selecionar controles de segurança apropriados para sistemas de informação.
- Guia para avaliar controles de segurança em sistemas de informação e determinar controles de segurança efetivos.
- Guia para autorização de segurança do sistema de informação.
Questionário
1. If you are conducting a pen test on a hospital's computer network, its security infrastructure most likely needs to conform to what regulation? a)HIPAA b)PCI DSS c)FISMA d)SOX
2. The widely accepted policies and procedures employed to optimize the security of credit, debit and cash card transactions and protect cardholders against misuse of their personal information are collectively known as: a)PCI DSS b)Sarbanes Oxley c)HIPAA d)FISMA
3. An individual who uses hacking to promote an agenda or to incite social change is known as a: a)Black hat b)White hat c)Hacktivist d)Grey hat
4. A security policy that provides maximum security while allowing known but necessary danger is known as a _______ policy. a)Promiscuous policy b)Prudent policy c)Permissive policy d)Paranoid policy
5. Which of the following is one of the six major objectives specified by the PCI DSS? a)All of these b)Maintaining a secure network c)Securely stored cardholder information d)Restricted/controlled access to system information and operations e)None of these
6. A simulation of an attack by someone with limited access privileges is known as: a)Grey-box penetration testing b)Black-box penetration testing c)White-box penetration testing d)Unannounced testing
As respostas do questionário do post anterior são: 1. A / 2. C / 3. B / 4. D / 5. A / 6. C
Bem pessoal é isso ai, espero que tenham curtido. No próximo post da série eu vou passar as respostas desse questionário ai, abraços. Não esqueçam de curtir nossas páginas nas redes sociais, Facebook, G+ e seguir o Guia do Ti no Twitter. Compartilhem e comentem esse artigo, isso é muito importante para divulgação do nosso trabalho.
Referências
CEH v9: Certified Ethical Hacker Version 9 Study Guide CEH v9: Certified Ethical Hacker Version 9 Practice Tests https://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act https://en.wikipedia.org/wiki/White_hat_%28computer_security%29 http://searchsecurity.techtarget.com/definition/white-hat https://pt.wikipedia.org/wiki/Pol%C3%ADtica_de_seguran%C3%A7a_da_informa%C3%A7%C3%A3o https://www.alertasecurity.com.br/blog/183-politica-de-seguranca-da-informacao-entenda-a-sua-importancia https://www.iso.org/standard/54534.html https://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o https://en.wikipedia.org/wiki/Information_security https://en.wikipedia.org/wiki/Enterprise_information_security_architecture https://www.pcisecuritystandards.org/pci_security/ https://en.wikipedia.org/wiki/Sarbanes%E2%80%93Oxley_Act https://www.nist.gov/programs-projects/federal-information-security-management-act-fisma-implementation-project https://en.wikipedia.org/wiki/Digital_Millennium_Copyright_Act
- Metasploit Framework de cabo a rabo – Parte 6 - 4 de junho de 2018
- Metasploit Framework de cabo a rabo – Parte 5 - 28 de maio de 2018
- CEH – Scanning Networks – Parte 2 - 24 de maio de 2018
