Keylogger
(que significa registrador do teclado em inglês)
é um software nocivo do tipo spyware cuja finalidade é
registar tudo o que é digitado, quase sempre a fim de
capturar senhas, números de cartão de crédito e afins.
Muitos casos de phishing,
assim como outros tipos de fraudes virtuais,
se baseiam no uso de algum tipo de keylogger,
instalado no computador sem o conhecimento da vítima, que captura dados sensíveis e os envia a um cracker que depois os utiliza para fraudes.
Keylogger Tipo Hardware
Existem softwares apropriados para se defender deste tipo de ameaça.
É sempre oportuno que um computador conectado à internet seja protegido através de
um software antispyware
de um firewall e
de um antivírus.
Keylogger de captura de imagem de tela
O keylogger também é um programa utilizado muito por empresas para monitorar
o que seus funcionários fazem em sua máquina,
porém em muitos casos as pessoas utilizam o programa de forma mal-intencionada.
Os programas do tipo keylogger
também podem ser usados de maneira não fraudulenta,
por exemplo
quando um usuário instala o keylogger em seu próprio computador particular
e tem o hábito de digitar textos compridos, como livros, teses e dissertações.
Alguns programas keyloggers editam e salvam o LOG de dados a cada tecla digitada,
o que aos olhos mais aguçados, pode ser percebida uma lentidão de até um décimo de segundo no intervalo entre duas teclas.
Alguns outros programas keyloggers activam o acesso e o salvamento do arquivo LOG a cada pacote de dez ou vinte teclas digitadas.
Há programas keyloggers que podem ter o pacote de teclas configurado.
Portanto vários destes programas são boas alternativas se comparados ao salvamento automático de editores de textos.
Estes salvamentos automáticos normalmente são configurados para cada cinco minutos,
quando o usuário já digitou algumas centenas de teclas, ou no mínimo um minuto, quando o usuário já digitou dezenas de teclas.
Ao se usar um computador público,
é possível notar alguns sintomas de que este computador possui um key logger instalado.
Durante a digitação de textos, em intervalos regulares percebe-se uma piscada quase instantânea do cursor do mouse,
ou até mesmo da tela inteira,
acusando o momento em que o arquivo LOG sofreu um salvamento.
Em máquinas com processadores de alta velocidade, estes sintomas são menos perceptíveis.
Muitas vezes com a finalidade
de capturar senhas,
números de cartões de crédito e afins,
os keyloggers registram todo o movimento do teclado
. São programas de computador capazes de
monitorar, armazenar e enviar todas as teclas digitadas pela vítima para um hacker.
Atualmente, os keyloggers
são incorporados em outros códigos maliciosos
como trojans,
para o roubo de logins ou dados bancários.
Geralmente executados em background (segundo plano),
não requerem interacção direta do usuário para ser executado.
quinta-feira, 13 de junho de 2019
Como Evitar
Os Backdoor está são parasitas extremamente perigosos que tem de ser removido do sistema.
Existem muitos programas oferecidos para essa remoção manual.no entanto a.mais confiável é
considerada a Reimage
pode também experimentar a plumbyts, antimalware como ferramenta de segurança alternativa.
Backdoors
Backdoor
é um programa malicioso usado para
providenciar ao agressor
remoto acesso não autorizado a um sistema operativo comprometido explorando as vulnerabilidades de segurança.
Um Backdoor trabalha em segundo plano escondesse do utilizador.
É muito semelhante a outro vírus malware também algo difícil de detectar.
O Backdoor é um dos tipos de parasitas mais perigoso pois dá uma pessoa mal intencionada a actuar no computador comprometido.
Como evitar
Manter um bom antivírus na máquina é o melhor meio de detectar este tipo de aplicação.
Naturalmente os demais recursos que ajudam manter sua conexão segura,
firewall e antivírus modernos também são bem vindos.
O Perigo que Representa
Keyloggers podem ser usados para fins ilícitos.
Neste caso o programa ficam em execução na máquina e podem,
sem que o usuário saiba,
gravar tudo o que foi digitado,
incluindo senha de acesso e outros dados sigilosos.
Keylogger
Keyloggers
são aplicativos ou dispositivos que fica em execução em um determinado computador
para monitorizar todas as entradas do teclado.
assim, aquele que deixou o programa em execução,
pode em outro momento,
conferir tudo o que foi digitado durante um determinado período.
Tipos de cavalo de Troia
Keylogger
Backdoor
Mouselogger
Hijackers
O cavalo de Troia é muito achado em computadores domésticos,
a fim de roubar uma determinada password para cometer certos crimes financeiros,
no caso de um cliente que utiliza algum serviço de internet banking.
Backdoor
Mouselogger
Hijackers
O cavalo de Troia é muito achado em computadores domésticos,
a fim de roubar uma determinada password para cometer certos crimes financeiros,
no caso de um cliente que utiliza algum serviço de internet banking.
Proteção
Ficar seguro tem muito a ver com o bloqueio a identificação da extensão de arquivos,
assim que os e-mails
com anexos *.EXE, *.BAT, *.CMD, *.SCR e *.JS
devem ser bloqueados.
Peritos recomendam configurar o sistema para mostrar extensões completas,
para evitar casos de falsificação de dupla extensão e, naturalmente,
usar uma solução de segurança confiável.
assim que os e-mails
com anexos *.EXE, *.BAT, *.CMD, *.SCR e *.JS
devem ser bloqueados.
Peritos recomendam configurar o sistema para mostrar extensões completas,
para evitar casos de falsificação de dupla extensão e, naturalmente,
usar uma solução de segurança confiável.
Origem do Nome - Cavalo de troia
A origem do nome remota a história da guerra de Tróia, quando os gregos,
simulando uma redenção, oferecem o cavalo de Tróia como presente ao rei rival.
Os troianos acharam que os gregos tinham desistido da guerra, que o cavalo era um presentes para eles. Decidiram trazer o cavalo para dentro da cidade. Como ele era muito grande, chegaram a derrubar uma parte da muralha para poder entrar, mal sabiam eles... Após ser aceito, soldados gregos saíram de seu interior e abriram os portões da fortaleza, permitindo que outros soldados entrassem e destruíssem a cidade, que está actualmente em território turco.
O conceito nasceu de um simples programa que se faziam passar por esquemas de autenticação, em que o utilizador era obrigado a inserir as passwords, pensando que estas operações eram legítimas.
Por exemplo,
na autenticação de uma shell, poderia ser um simples programa numa conta já aberta, e o utilizador que chegasse seria forçado a introduzir a sua password.
O cavalo de Tróia iria então guardar a password e mascarar a conta (que seria do dono do cavalo de Tróia) para que parecesse legítima (a conta da vítima).
Entretanto, o conceito evoluiu para programas mais completos.
Os cavalos de Tróia actuais
são disfarçados de programas legítimos, embora, diferentemente de vírus ou de worms,
não criam réplicas de si mesmo
(e esse é o motivo pelo qual o cavalo de Tróia não é considerado um vírus).
São instalados directamente no computador.
De fato, alguns cavalos de Tróia são programados para se autodestruir com um comando do cliente ou depois de um determinado tempo.
Os cavalos de Tróia ficaram famosos na Internet pela sua facilidade de uso,
fazendo qualquer pessoa possuir o controle de um outro computador apenas com o envio de um arquivo.
Por isso têm fama de ser considerados "ferramentas de script kid".
Os cavalos de Tróia actuais são divididos em duas partes:
o servidor
o cliente.
O servidor se instala e se oculta no computador da vítima.
normalmente dentro de algum outro arquivo.
No momento que esse arquivo é executado, o computador pode ser acessado pelo cliente,
que irá enviar instruções para o servidor executar certas operações no computador da vítima.
A directa tende a precisar do IP da vítima para funcionar,
já a reversa tem o IP do dono do cavalo de Tróia, fazendo assim a conexão.
Geralmente um cavalo de Tróia
é instalado com o auxílio de um ataque de engenharia social,
com apelos para convencer a vítima a executar o arquivo do servidor,
o que muitas vezes acaba acontecendo,
dada a curiosidade do internauta,
como um email atraindo a pessoa a ver fotos de um artista,
pedindo a instalação de um plugin,
onde o cavalo de Tróia fica "hospedado".
simulando uma redenção, oferecem o cavalo de Tróia como presente ao rei rival.
Os troianos acharam que os gregos tinham desistido da guerra, que o cavalo era um presentes para eles. Decidiram trazer o cavalo para dentro da cidade. Como ele era muito grande, chegaram a derrubar uma parte da muralha para poder entrar, mal sabiam eles... Após ser aceito, soldados gregos saíram de seu interior e abriram os portões da fortaleza, permitindo que outros soldados entrassem e destruíssem a cidade, que está actualmente em território turco.
O conceito nasceu de um simples programa que se faziam passar por esquemas de autenticação, em que o utilizador era obrigado a inserir as passwords, pensando que estas operações eram legítimas.
Por exemplo,
na autenticação de uma shell, poderia ser um simples programa numa conta já aberta, e o utilizador que chegasse seria forçado a introduzir a sua password.
O cavalo de Tróia iria então guardar a password e mascarar a conta (que seria do dono do cavalo de Tróia) para que parecesse legítima (a conta da vítima).
Entretanto, o conceito evoluiu para programas mais completos.
Os cavalos de Tróia actuais
são disfarçados de programas legítimos, embora, diferentemente de vírus ou de worms,
não criam réplicas de si mesmo
(e esse é o motivo pelo qual o cavalo de Tróia não é considerado um vírus).
São instalados directamente no computador.
De fato, alguns cavalos de Tróia são programados para se autodestruir com um comando do cliente ou depois de um determinado tempo.
Os cavalos de Tróia ficaram famosos na Internet pela sua facilidade de uso,
fazendo qualquer pessoa possuir o controle de um outro computador apenas com o envio de um arquivo.
Por isso têm fama de ser considerados "ferramentas de script kid".
Os cavalos de Tróia actuais são divididos em duas partes:
o servidor
o cliente.
O servidor se instala e se oculta no computador da vítima.
normalmente dentro de algum outro arquivo.
No momento que esse arquivo é executado, o computador pode ser acessado pelo cliente,
que irá enviar instruções para o servidor executar certas operações no computador da vítima.
A directa tende a precisar do IP da vítima para funcionar,
já a reversa tem o IP do dono do cavalo de Tróia, fazendo assim a conexão.
Geralmente um cavalo de Tróia
é instalado com o auxílio de um ataque de engenharia social,
com apelos para convencer a vítima a executar o arquivo do servidor,
o que muitas vezes acaba acontecendo,
dada a curiosidade do internauta,
como um email atraindo a pessoa a ver fotos de um artista,
pedindo a instalação de um plugin,
onde o cavalo de Tróia fica "hospedado".
VPNFilter
O VPNFilter é um malware que infecta vários tipos diferentes de roteadores de rede, e parece ser projectado especificamente para dispositivos de rede serial usando o protocolo Modbus para falar e controlar hardware industrial, como em fábricas e armazéns.
O malware tem um código especial dedicado para direccionar os sistemas de controle usando o SCADA.
Em 01 de junho de 2018, FBI recomendou que pessoas no mundo inteiro reiniciassem seu roteador.
Um malware chamado VPNFilter infectou centenas de milhares de roteadores em mais de 54 países.
Esse programa específico é capaz de bloquear o tráfico da internet, coletar informações que passam pelos roteadores e deixar este inoperante.
O ataque é atribuído ao grupo Sofacy, também chamado de apt28.
O malware tem um código especial dedicado para direccionar os sistemas de controle usando o SCADA.
Em 01 de junho de 2018, FBI recomendou que pessoas no mundo inteiro reiniciassem seu roteador.
Um malware chamado VPNFilter infectou centenas de milhares de roteadores em mais de 54 países.
Esse programa específico é capaz de bloquear o tráfico da internet, coletar informações que passam pelos roteadores e deixar este inoperante.
O ataque é atribuído ao grupo Sofacy, também chamado de apt28.
Cavalo de troia (computação)
Um cavalo de Troia (em inglês Trojan horse)
é um malware (programa malicioso) que age tal como na história do Cavalo de Troia,
entrando no computador e criando uma porta para uma possível invasão;
e é fácil de ser enviado, clicando na ID do computador e enviando para qualquer outro computador.
Conhecidos por normalmente responder pelo primeiro estágio de infecção de dispositivos digitais,
têm como objectivo manterem-se ocultos, enquanto baixam e instalam ameaças mais robustas em computadores e notebooks.
Podem ser transportados em
arquivos de música,
mensagens de e-mail,
escondidos em downloads e
sites maliciosos,
aproveitando as vulnerabilidades do navegador utilizado para instalar a praga no computador,
ou seja, entram de quase qualquer maneira.
Datam do início da Internet e
mantêm-se invisíveis para executar delitos,
enquanto a vítima realiza suas actividades quotidianas.
é um malware (programa malicioso) que age tal como na história do Cavalo de Troia,
entrando no computador e criando uma porta para uma possível invasão;
e é fácil de ser enviado, clicando na ID do computador e enviando para qualquer outro computador.
Conhecidos por normalmente responder pelo primeiro estágio de infecção de dispositivos digitais,
têm como objectivo manterem-se ocultos, enquanto baixam e instalam ameaças mais robustas em computadores e notebooks.
Podem ser transportados em
arquivos de música,
mensagens de e-mail,
escondidos em downloads e
sites maliciosos,
aproveitando as vulnerabilidades do navegador utilizado para instalar a praga no computador,
ou seja, entram de quase qualquer maneira.
Datam do início da Internet e
mantêm-se invisíveis para executar delitos,
enquanto a vítima realiza suas actividades quotidianas.
Vulnerabilidade ao malware:
Vulnerabilidade ao malware:
Neste contexto, e por toda parte, o que é chamado de "sistema" sob ataque
pode ser qualquer coisa de uma única aplicação, através de um computador ou sistema operacional completo, a uma grande rede
Vários fatores tornam um sistema mais vulnerável a malware.
Defeitos de segurança em software
Malware explora falhas de segurança (bugs de segurança ou vulnerabilidades) na concepção do sistema operacional, em aplicações (como navegadores, por exemplo, versões mais antigas do Microsoft Internet Explorer suportados pelo Windows XP),
ou em versões vulneráveis de plugins do navegador, como Adobe Flash Player, Acrobat ou Reader, ou Java.
Às vezes, até mesmo a instalação de novas versões de tais plugins, não desinstala automaticamente versões antigas.
Os avisos de segurança de provedores de plugin anunciam atualizações de segurança.
Às vulnerabilidades comuns, são atribuídos IDs de CVE, e listados no Vulnerability Database US Nacional. Secunia PSFGoftware, gratuito para uso pessoal, que irá verificar algum programa desatualizado vulnerável, e tentar atualizá-lo.
Os autores de malwares procuram erros ou lacunas para explorar.
Um método comum é a exploração de uma vulnerabilidade de saturação de buffer, onde o software projectado para armazenar dados em uma região específica de memória não impede mais dados do que o buffer pode acomodar a ser fornecido.
O malware pode fornecer dados que transbordam o buffer, com código executável malicioso; quando acessado, faz o que o atacante ordenar, e não o que o software legítimo determina.
Neste contexto, e por toda parte, o que é chamado de "sistema" sob ataque
pode ser qualquer coisa de uma única aplicação, através de um computador ou sistema operacional completo, a uma grande rede
Vários fatores tornam um sistema mais vulnerável a malware.
Defeitos de segurança em software
Malware explora falhas de segurança (bugs de segurança ou vulnerabilidades) na concepção do sistema operacional, em aplicações (como navegadores, por exemplo, versões mais antigas do Microsoft Internet Explorer suportados pelo Windows XP),
ou em versões vulneráveis de plugins do navegador, como Adobe Flash Player, Acrobat ou Reader, ou Java.
Às vezes, até mesmo a instalação de novas versões de tais plugins, não desinstala automaticamente versões antigas.
Os avisos de segurança de provedores de plugin anunciam atualizações de segurança.
Às vulnerabilidades comuns, são atribuídos IDs de CVE, e listados no Vulnerability Database US Nacional. Secunia PSFGoftware, gratuito para uso pessoal, que irá verificar algum programa desatualizado vulnerável, e tentar atualizá-lo.
Os autores de malwares procuram erros ou lacunas para explorar.
Um método comum é a exploração de uma vulnerabilidade de saturação de buffer, onde o software projectado para armazenar dados em uma região específica de memória não impede mais dados do que o buffer pode acomodar a ser fornecido.
O malware pode fornecer dados que transbordam o buffer, com código executável malicioso; quando acessado, faz o que o atacante ordenar, e não o que o software legítimo determina.
Diferença entre vírus e worms
Os tipos mais conhecidos de malware são os infecciosos, vírus e worms.
Eles são conhecidos pela maneira como se espalham, em vez de quaisquer tipos específicos de comportamento.
"Vírus"
é usado para um programa que se encaixa em algum outro software executável (incluindo o próprio sistema operacional) no sistema de destino, sem o consentimento dos usuários e, quando executado, faz com que o vírus se espalhe para outros executáveis.
Por outro lado, um worm
é um programa malicioso independente que transmite-se activamente através de uma rede para infectar outros computadores.
Essas definições levam à constatação de que
um vírus requer que o usuário execute um programa infectado ou sistema operacional para o vírus se espalhar,
ao passo que um worm se espalha.
Eles são conhecidos pela maneira como se espalham, em vez de quaisquer tipos específicos de comportamento.
"Vírus"
é usado para um programa que se encaixa em algum outro software executável (incluindo o próprio sistema operacional) no sistema de destino, sem o consentimento dos usuários e, quando executado, faz com que o vírus se espalhe para outros executáveis.
Por outro lado, um worm
é um programa malicioso independente que transmite-se activamente através de uma rede para infectar outros computadores.
Essas definições levam à constatação de que
um vírus requer que o usuário execute um programa infectado ou sistema operacional para o vírus se espalhar,
ao passo que um worm se espalha.
Quines
Também conhecidos como "programas ouroboros",
esses programas são executáveis que quando activados abrem uma janela,alerta ou cria arquivos.
Depois disso as janelas ou arquivos, começam a se duplicar cada uma, aumentando o número de janelas abertas e/ou coisas na telas, prejudicando o desempenho do computador, e as vezes o levando a ter problemas graves
esses programas são executáveis que quando activados abrem uma janela,alerta ou cria arquivos.
Depois disso as janelas ou arquivos, começam a se duplicar cada uma, aumentando o número de janelas abertas e/ou coisas na telas, prejudicando o desempenho do computador, e as vezes o levando a ter problemas graves
Ransoware
Ransoware:
Um tipo de malware cujo captura,encripta e rapta arquivos de seus alvos.
Depois disso o programa pede algo em troca, geralmente dinheiro, para que o alvo possa ter seus arquivos de volta.
Em casos raros, o programa pede coisas específicas, como mandar uma mensagem a alguém, jogar algum jogo ou quando o programa é feito sem o intuito de causar dano critico ao computador, ele te dá algum código para liberar os arquivos.
Em alguns casos quando o computador é infectado e o ransoware é ativado, pode-se contornar o pagamento, mas é raro de acontecer, e é preciso um bom conhecimento sobre informática.
Um tipo de malware cujo captura,encripta e rapta arquivos de seus alvos.
Depois disso o programa pede algo em troca, geralmente dinheiro, para que o alvo possa ter seus arquivos de volta.
Em casos raros, o programa pede coisas específicas, como mandar uma mensagem a alguém, jogar algum jogo ou quando o programa é feito sem o intuito de causar dano critico ao computador, ele te dá algum código para liberar os arquivos.
Em alguns casos quando o computador é infectado e o ransoware é ativado, pode-se contornar o pagamento, mas é raro de acontecer, e é preciso um bom conhecimento sobre informática.
Quantum
Cria site falso para implantar sistemas
usado pelo GCHQ na Vigilância de Computadores e Redes.
usado pelo GCHQ na Vigilância de Computadores e Redes.
Rootkit
Rootkit:
Conjunto de programas com o fim de esconder e assegurar a presença de um invasor em um computador comprometido.
Apesar do nome "rootkit",
não é usado para obter acesso privilegiado (root ou administrador) em um computador,
mas sim para manter o acesso privilegiado em um computador previamente comprometido.
Conjunto de programas com o fim de esconder e assegurar a presença de um invasor em um computador comprometido.
Apesar do nome "rootkit",
não é usado para obter acesso privilegiado (root ou administrador) em um computador,
mas sim para manter o acesso privilegiado em um computador previamente comprometido.
Bot
Bot:
Além de incluir funcionalidades de worms, dispõe de mecanismos de comunicação com o invasor, permitindo que o programa seja controlado remotamente.
O invasor, ao se comunicar com o bot, pode orientá-lo a desferir ataques contra outros computadores, furtar dados, enviar spam, etc;
Além de incluir funcionalidades de worms, dispõe de mecanismos de comunicação com o invasor, permitindo que o programa seja controlado remotamente.
O invasor, ao se comunicar com o bot, pode orientá-lo a desferir ataques contra outros computadores, furtar dados, enviar spam, etc;
Port Scanners:
Port Scanners:
Para efectuar varredura em redes de computadores, com o intuito de identificar quais computadores estão activos e quais serviços estão sendo disponibilizados por eles.
Amplamente usados por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador;
Para efectuar varredura em redes de computadores, com o intuito de identificar quais computadores estão activos e quais serviços estão sendo disponibilizados por eles.
Amplamente usados por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador;
Sniffers
Sniffers:
Usado a capturar e armazenar dados tráfego em uma rede de computadores.
Pode ser usado por um invasor para capturar informações sensíveis (como senhas de usuários), em casos onde esteja sendo utilizadas conexões sem criptografia.
Deixa a placa de rede em modo promíscuo.
Usado a capturar e armazenar dados tráfego em uma rede de computadores.
Pode ser usado por um invasor para capturar informações sensíveis (como senhas de usuários), em casos onde esteja sendo utilizadas conexões sem criptografia.
Deixa a placa de rede em modo promíscuo.
Exploits
Exploits:
Projetado para explorar uma vulnerabilidade existente em um software de computador;
Projetado para explorar uma vulnerabilidade existente em um software de computador;
Backdoor
Backdoor:
Permite a um invasor retornar a um computador comprometido.
Normalmente, este programa é colocado de forma a não ser notado,
conhecido vulgarmente por "PORTA DOS FUNDOS";
Permite a um invasor retornar a um computador comprometido.
Normalmente, este programa é colocado de forma a não ser notado,
conhecido vulgarmente por "PORTA DOS FUNDOS";
Adware
Adware:
Projectado para apresentar propaganda.
É comum aparecerem na hora de instalar um programa.
Projectado para apresentar propaganda.
É comum aparecerem na hora de instalar um programa.
Spyware
Spyware:
Tem objetivo de monitorar atividades de um sistema e enviar as informações a terceiros.
Podem ser usados de forma legítima, mas geralmente, são usados de forma dissimulada, não autorizada e maliciosa.
(Espião).
Tem objetivo de monitorar atividades de um sistema e enviar as informações a terceiros.
Podem ser usados de forma legítima, mas geralmente, são usados de forma dissimulada, não autorizada e maliciosa.
(Espião).
Screenlogger
Screenlogger:
Forma avançada de keylogger,
capaz de armazenar a posição do cursor e a tela apresentada no monitor,
nos momentos em que o mouse é clicado.
Forma avançada de keylogger,
capaz de armazenar a posição do cursor e a tela apresentada no monitor,
nos momentos em que o mouse é clicado.
Keylogger
Keylogger:
Captura e armazena as teclas digitadas pelo usuário no teclado do computador.
Normalmente, a ativação é condicionada a uma ação prévia do usuário,
por exemplo, após o acesso a um e-commerce ou Internet Banking,
para captura de senhas bancárias ou números de cartões de crédito.
Captura e armazena as teclas digitadas pelo usuário no teclado do computador.
Normalmente, a ativação é condicionada a uma ação prévia do usuário,
por exemplo, após o acesso a um e-commerce ou Internet Banking,
para captura de senhas bancárias ou números de cartões de crédito.
Trojan (ou cavalo de troia)
Trojan (ou cavalo de troia):
Passa-se por "presente" (cartões virtuais, álbum de fotos, protector de tela, jogo, etc.) que,
além de executar funções às quais foi aparentemente projectado,
também executa outras funções, normalmente maliciosas e sem o conhecimento do usuário.
Passa-se por "presente" (cartões virtuais, álbum de fotos, protector de tela, jogo, etc.) que,
além de executar funções às quais foi aparentemente projectado,
também executa outras funções, normalmente maliciosas e sem o conhecimento do usuário.
Worm
Worm:
Capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador.
Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos, e não necessita ser executado para se propagar.
A sua propagação dá-se através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores.
Capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador.
Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos, e não necessita ser executado para se propagar.
A sua propagação dá-se através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores.
Vírus
Vírus:
Propaga-se infectando cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador.
O vírus depende da execução dos arquivos hospedeiros para que possa se tornar activo e continuar o processo de infecção.
Muitas vezes, recebemos um ou mais e-mails de origens que não conhecemos:
nunca se deve abrir esses e-mails, pois podem conter vírus e, uma vez abertos, o vírus automaticamente propaga-se por todo o computador.
Intenção de destruir, danificar...
Propaga-se infectando cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador.
O vírus depende da execução dos arquivos hospedeiros para que possa se tornar activo e continuar o processo de infecção.
Muitas vezes, recebemos um ou mais e-mails de origens que não conhecemos:
nunca se deve abrir esses e-mails, pois podem conter vírus e, uma vez abertos, o vírus automaticamente propaga-se por todo o computador.
Intenção de destruir, danificar...
Principais tipos
Vírus
Worm
Trojan (ou cavalo de troia)
Keylogger
Screenlogger
Spyware
Adware
Backdoor
Exploits
Sniffers
Port Scanners
Bot
Rootkit
Quantum
Ransoware
Quines
Worm
Trojan (ou cavalo de troia)
Keylogger
Screenlogger
Spyware
Adware
Backdoor
Exploits
Sniffers
Port Scanners
Bot
Rootkit
Quantum
Ransoware
Quines
Proliferação
Os resultados preliminares da Symantec, publicados em 2008, sugeriram que "a taxa de libertação de código malicioso e outros programas indesejados podem ser superiores a de aplicações de software legítimo".
De acordo com a F-Secure, "foram produzidos mais malwares em 2007, do que nos 20 anos anteriores ao todo".
A prevalência de malware como um veículo para criminalidade na Internet, juntamente com o desafio de software anti-malware para manter-se com o fluxo contínuo de novos malwares, tem visto a adaptação de uma nova mentalidade aos indivíduos e empresas que utilizam a Internet.
Actualmente, com a grande quantidade de malwares sendo distribuídos, uma percentagem muito grande de computadores estão sendo infectados.
Para as empresas, especialmente aquelas que vendem através da Internet, isso significa que eles precisam encontrar uma maneira de operar, apesar das preocupações de segurança.
O resultado é uma ênfase maior na protecção de backoffice para se proteger de malwares avançados nos computadores dos clientes.
Um estudo de 2013, da Webroot, mostra que 64% das empresas permitem o acesso remoto a servidores de 25% a 100% de sua força de trabalho, e que as empresas com mais de 25% de seus funcionários que acessam remotamente servidores têm taxas mais altas de ameaças de malware.
Em 29 de março de 2010, a Symantec chamou a Shaoxing, na China, como capital de malware do mundo.
Nas mídias sociais, no Facebook principalmente, se vê um aumento no número de tácticas usadas para espalhar malware aos computadores.
Um estudo de 2014, descobriu que o malware vem cada vez mais destinado aos dispositivos móveis, cada vez mais populares.
De acordo com a F-Secure, "foram produzidos mais malwares em 2007, do que nos 20 anos anteriores ao todo".
A prevalência de malware como um veículo para criminalidade na Internet, juntamente com o desafio de software anti-malware para manter-se com o fluxo contínuo de novos malwares, tem visto a adaptação de uma nova mentalidade aos indivíduos e empresas que utilizam a Internet.
Actualmente, com a grande quantidade de malwares sendo distribuídos, uma percentagem muito grande de computadores estão sendo infectados.
Para as empresas, especialmente aquelas que vendem através da Internet, isso significa que eles precisam encontrar uma maneira de operar, apesar das preocupações de segurança.
O resultado é uma ênfase maior na protecção de backoffice para se proteger de malwares avançados nos computadores dos clientes.
Um estudo de 2013, da Webroot, mostra que 64% das empresas permitem o acesso remoto a servidores de 25% a 100% de sua força de trabalho, e que as empresas com mais de 25% de seus funcionários que acessam remotamente servidores têm taxas mais altas de ameaças de malware.
Em 29 de março de 2010, a Symantec chamou a Shaoxing, na China, como capital de malware do mundo.
Nas mídias sociais, no Facebook principalmente, se vê um aumento no número de tácticas usadas para espalhar malware aos computadores.
Um estudo de 2014, descobriu que o malware vem cada vez mais destinado aos dispositivos móveis, cada vez mais populares.
Proteção
Os programas antivírus e antispyware são algumas das ferramentas mais comuns para prevenir que estes tipos de programas entrem no computador e o danifiquem.
O utilitário analisa um programa de computador antes de executá-lo e encerra-o se reconhecer uma "assinatura" de um código mal-intencionado.
Muitos antivírus também avaliam os programas para determinar se eles contêm quaisquer características relacionadas a vírus.
O utilitário analisa um programa de computador antes de executá-lo e encerra-o se reconhecer uma "assinatura" de um código mal-intencionado.
Muitos antivírus também avaliam os programas para determinar se eles contêm quaisquer características relacionadas a vírus.
Proporções
Muitos programas infecciosos criados, incluindo o primeiro worm, foram escritos como experimentos ou travessuras.
Hoje, malware é usado por hackers black hat e governos, para roubar informações pessoais e ou financeiras.
Malware é por vezes utilizado amplamente contra sites do governo ou das empresas para colectar informações guardadas, ou de perturbar seu funcionamento em geral.
Entanto, o malware é muitas vezes usado contra indivíduos para obter informações como números de identificação pessoal ou detalhes, números bancários ou de cartão de crédito e senhas.
Computadores desprotegidos, pessoais e de rede no país podem estar em risco considerável contra essas ameaças.
(Estes são frequentemente defendidos por vários tipos de firewall, software antivírus, e hardware de rede).
Desde o surgimento de um acesso generalizado à Internet de banda larga, o software malicioso foi mais frequente projectado ao lucro.
Desde 2003, a maioria dos vírus e worms gerados foram projectados para assumir o controle de computadores dos usuários para fins ilícitos e, depois de infectados,
os "computadores zumbis" são usados para enviar spams, hospedar dados de contrabando (como a pornografia infantil),
ou se engajar em ataques distribuídos de negação de serviço, como uma forma de extorsão.
Os programas desenvolvidos para monitorar a navegação na web dos usuários, exibir propagandas não solicitadas,
ou redirecionar receitas de marketing de afiliados são chamados de spyware.
Os spywares não se espalham como vírus; em vez disso, são geralmente instalados através da exploração de falhas de segurança.
Eles também podem ser embalados em conjunto com software instalado pelo usuário, tais como aplicações peer-to-peer.
Ransomware afeta um computador infectado, de alguma forma, e exige o pagamento para reverter os danos.
Por exemplo, programas como o CryptoLocker criptografa arquivos de forma segura, e apenas decifra-os mediante o pagamento de uma quantia substancial de dinheiro.
Hoje, malware é usado por hackers black hat e governos, para roubar informações pessoais e ou financeiras.
Malware é por vezes utilizado amplamente contra sites do governo ou das empresas para colectar informações guardadas, ou de perturbar seu funcionamento em geral.
Entanto, o malware é muitas vezes usado contra indivíduos para obter informações como números de identificação pessoal ou detalhes, números bancários ou de cartão de crédito e senhas.
Computadores desprotegidos, pessoais e de rede no país podem estar em risco considerável contra essas ameaças.
(Estes são frequentemente defendidos por vários tipos de firewall, software antivírus, e hardware de rede).
Desde o surgimento de um acesso generalizado à Internet de banda larga, o software malicioso foi mais frequente projectado ao lucro.
Desde 2003, a maioria dos vírus e worms gerados foram projectados para assumir o controle de computadores dos usuários para fins ilícitos e, depois de infectados,
os "computadores zumbis" são usados para enviar spams, hospedar dados de contrabando (como a pornografia infantil),
ou se engajar em ataques distribuídos de negação de serviço, como uma forma de extorsão.
Os programas desenvolvidos para monitorar a navegação na web dos usuários, exibir propagandas não solicitadas,
ou redirecionar receitas de marketing de afiliados são chamados de spyware.
Os spywares não se espalham como vírus; em vez disso, são geralmente instalados através da exploração de falhas de segurança.
Eles também podem ser embalados em conjunto com software instalado pelo usuário, tais como aplicações peer-to-peer.
Ransomware afeta um computador infectado, de alguma forma, e exige o pagamento para reverter os danos.
Por exemplo, programas como o CryptoLocker criptografa arquivos de forma segura, e apenas decifra-os mediante o pagamento de uma quantia substancial de dinheiro.
Malware
Malware inclui
vírus, worms, cavalos de tróia, ransomware, spyware, adware e outros programas maliciosos.
A partir de 2011, a maioria das ameaças de malware ativos foram worms ou cavalos de troia, em vez de vírus.
Desse modo, o malware é conhecido como contaminante de computador, como nos códigos legais de vários estados estadunidenses.
Malware é muitas vezes disfarçado, ou encaixado dentro de arquivos não maliciosos.
Spyware é outro malware encontrado, às vezes embutidos em programas fornecidos oficialmente pelas empresas, por exemplo, por download a partir de sites, que parece útil ou atraente, mas pode ter a funcionalidade de rastreamento adicional oculto, que reúne estatísticas de marketing.
Um exemplo desse software, que foi descrito como ilegítimo, é o rootkit da Sony,
um trojan embutido em CDs vendidos pela Sony, que silenciosamente instalam-se e ocultam-se em computadores, com a intenção de evitar a cópia ilegal.
Também informam sobre hábitos dos usuários, e criam vulnerabilidades que foram exploradas por malwares relacionados.
O termo malware só se aplica a software que intencionalmente cause danos.
Software que causa danos devido a erros ou má concepção não são classificados como malware, por exemplo, algum software legítimo escrito antes do ano 2000 teve erros que causaram avarias graves quando ocorreu a mudança do ano 1999-2000, esses programas não são considerados malware.
Softwares como antivírus, anti-malware, e firewalls são utilizados por usuários domésticos e organizações para tentarem se proteger contra ataques malwares.
A partir de 2012, aproximadamente 60 a 70 por cento de todo o malware ativo é usado em algum tipo de fraude de cliques para rentabilizar sua atividade.
vírus, worms, cavalos de tróia, ransomware, spyware, adware e outros programas maliciosos.
A partir de 2011, a maioria das ameaças de malware ativos foram worms ou cavalos de troia, em vez de vírus.
Desse modo, o malware é conhecido como contaminante de computador, como nos códigos legais de vários estados estadunidenses.
Malware é muitas vezes disfarçado, ou encaixado dentro de arquivos não maliciosos.
Spyware é outro malware encontrado, às vezes embutidos em programas fornecidos oficialmente pelas empresas, por exemplo, por download a partir de sites, que parece útil ou atraente, mas pode ter a funcionalidade de rastreamento adicional oculto, que reúne estatísticas de marketing.
Um exemplo desse software, que foi descrito como ilegítimo, é o rootkit da Sony,
um trojan embutido em CDs vendidos pela Sony, que silenciosamente instalam-se e ocultam-se em computadores, com a intenção de evitar a cópia ilegal.
Também informam sobre hábitos dos usuários, e criam vulnerabilidades que foram exploradas por malwares relacionados.
O termo malware só se aplica a software que intencionalmente cause danos.
Software que causa danos devido a erros ou má concepção não são classificados como malware, por exemplo, algum software legítimo escrito antes do ano 2000 teve erros que causaram avarias graves quando ocorreu a mudança do ano 1999-2000, esses programas não são considerados malware.
Softwares como antivírus, anti-malware, e firewalls são utilizados por usuários domésticos e organizações para tentarem se proteger contra ataques malwares.
A partir de 2012, aproximadamente 60 a 70 por cento de todo o malware ativo é usado em algum tipo de fraude de cliques para rentabilizar sua atividade.
terça-feira, 11 de junho de 2019
Malware
Um código malicioso, programa malicioso,software nocivo,software mal-intencionado ou software malicioso (em inglês: malware, abreviação de "malicious software"),
é um programa de computador destinado a infiltrar-se em um sistema de computador alheio de forma ilícita, com o intuito de causar alguns danos, alterações ou roubo de informações (confidenciais ou não).
Ele pode aparecer na forma de código executável, scripts de conteúdo ativo, e outros softwares.
"Malware" é um termo geral utilizado para se referir a uma variedade de formas de software hostil ou intruso.
O termo badwares é às vezes utilizado e confundido com softwares prejudiciais não intencionais.
é um programa de computador destinado a infiltrar-se em um sistema de computador alheio de forma ilícita, com o intuito de causar alguns danos, alterações ou roubo de informações (confidenciais ou não).
Ele pode aparecer na forma de código executável, scripts de conteúdo ativo, e outros softwares.
"Malware" é um termo geral utilizado para se referir a uma variedade de formas de software hostil ou intruso.
O termo badwares é às vezes utilizado e confundido com softwares prejudiciais não intencionais.
Furto de informações bancárias
A forma de persuasão é semelhante à do furto de identidade, porém a mensagem recebida contém ligações que apontam para sítios que contém programas de computador que, se instalados, podem permitir a captura de informações, principalmente números de conta e senhas bancárias.
A instalação desses programas é, na maioria absoluta dos casos, feita manualmente pelo usuário. Tecnicamente, pode existir a possibilidade da instalação automática desses programas apenas pela leitura da mensagem, mas isso depende de uma combinação de muitos factores, que raramente acontece.
No Brasil, o phishing via e-mail não vem apenas com o nome de entidades famosas.
São usados diversos tipos de assuntos com o intuito de atrair a curiosidade e fazer com que o receptor da mensagem clique na ligação contida junto ao corpo do e-mail.
Na figura ao lado uma suposta admiradora secreta envia supostas fotos suas.
Na verdade, a ligação não contém fotos, mas sim um arquivo executável, que ao ser baixado e executado instala um cavalo de Tróia (trojan) bancário no computador do usuário.
Outro tema muito comum são os cartões virtuais.
Eles são um bom chamariz, visto que é comum as pessoas trocarem cartões virtuais via e-mail.
Os supostos cartões virtuais, normalmente, têm a sua identidade associada a de algum sítio popular de cartões virtuais.
Isso ajuda a tentativa de legitimar o golpe e tenta dar mais credibilidade à farsa.
A mensagem tem o mesmo formato e, geralmente, utiliza as imagens originais dos sítios de cartões virtuais.
Um detalhe em que o usuário deve prestar a atenção são os erros de gramática que essas mensagens geralmente apresentam.
Outro detalhe é que ao clicar em ligações contidas nessas mensagens quase sempre é aberta uma janela para download de arquivo.
Nenhum site de cartões requer que o usuário baixe qualquer arquivo.
Furto de identidade
Uma técnica popular é o furto de identidade via e-mail.
Estelionatários enviam e-mails tentando persuadir os receptores a fornecer dados pessoais sensíveis, tais como nome completo, endereço, nome da mãe, número da segurança social, cartões de crédito, números de conta bancária, entre outros.
Se captados, esses dados podem ser usados para obter vantagens financeiras ilícitas.
A identidade usada nessas mensagens, geralmente, é de órgãos governamentais, bancos e empresas de cartão de crédito.
No corpo da mensagem, normalmente, existem ligações que apontam para sites falsos, geralmente muito parecidos com os sites verdadeiros, onde existem formulários que a vítima deve preencher com as informações solicitadas.
O conteúdo preenchido no formulário é enviado ao estelionatário.
Etapas do processo tradicional
1) Fase de planejamento (Fase inicial):
Nesta fase, o atacante escolhe seu alvo, define o objectivo do ataque, de que artimanhas vai se valer e o método a utilizar.
2) Fase de preparação:
Nesta fase, elabora-se todo o material a ser utilizado, como e-mails, websites falsos, dentre outros. Obtém-se informações sobre o alvo, prepara toda a parte electrónica a ser utilizada no ataque e, no caso de atacantes mais experientes, eleva seu nível de ocultação.
3) Fase de ataque: Na fase de ataque, o atacante utiliza a via pela qual optou na fase de planejamento. O ataque pode ocorrer:
Via e-mail;
Via website;
Via mensageiros instantâneos;
Via VoIP;
Via malware;
4) Fase de colecta:
Nesta fase, ocorre a colecta dos dados obtidos com o ataque. Dados inseridos em páginas web previamente preparadas para o ataque, em respostas das mensagens disparadas ou capturadas por malwares.
5) Fase da fraude:
Fase onde ocorre a fraude propriamente dita.
Nesta fase, há o roubo de dinheiro, de informações sensíveis, apropriação da identidade alheia para cometer outros delitos,vendê-las a quem interesse ou utilizar em um segundo ataque em busca do objectivo definido na fase inicial.
6) Fase pós-ataque:
Nesta fase ocorre o desligamento das máquinas utilizadas, e a destruição das evidências. Há ainda a avaliação da efectividade e possivelmente lavagem do dinheiro adquirido (no caso de tê-lo sido).
Nesta fase, o atacante escolhe seu alvo, define o objectivo do ataque, de que artimanhas vai se valer e o método a utilizar.
2) Fase de preparação:
Nesta fase, elabora-se todo o material a ser utilizado, como e-mails, websites falsos, dentre outros. Obtém-se informações sobre o alvo, prepara toda a parte electrónica a ser utilizada no ataque e, no caso de atacantes mais experientes, eleva seu nível de ocultação.
3) Fase de ataque: Na fase de ataque, o atacante utiliza a via pela qual optou na fase de planejamento. O ataque pode ocorrer:
Via e-mail;
Via website;
Via mensageiros instantâneos;
Via VoIP;
Via malware;
4) Fase de colecta:
Nesta fase, ocorre a colecta dos dados obtidos com o ataque. Dados inseridos em páginas web previamente preparadas para o ataque, em respostas das mensagens disparadas ou capturadas por malwares.
5) Fase da fraude:
Fase onde ocorre a fraude propriamente dita.
Nesta fase, há o roubo de dinheiro, de informações sensíveis, apropriação da identidade alheia para cometer outros delitos,vendê-las a quem interesse ou utilizar em um segundo ataque em busca do objectivo definido na fase inicial.
6) Fase pós-ataque:
Nesta fase ocorre o desligamento das máquinas utilizadas, e a destruição das evidências. Há ainda a avaliação da efectividade e possivelmente lavagem do dinheiro adquirido (no caso de tê-lo sido).
Atuação dos Phishers
Os Phishers adotam diversos vetores para distribuir seus ataques, indo do massivo envio de mensagens conhecido como Spam, até ataques altamente focalizados, conhecidos como Spear Phishing.
De qualquer modo, os ataques têm nível razoavelmente alto de sucesso, ultrapassando os 5%, de acordo com o Anti-Phishing Working Group.
Sites de Relacionamento
Assim como no caso dos mensageiros instantâneos, os sites de relacionamento são, por assim dizer, ambientes virtuais mais descontraídos que, por exemplo, uma caixa de e-mails, e novamente tem-se uma redução na cautela.
Não assemelha-se apenas neste ponto: Além disto, na maior parte das vezes o remetente da mensagem é algum amigo de confiança, possivelmente infectado por um malware.
Por se tratar de uma rede onde circulam fotografias, informações da vida alheia, e onde estabelecem-se paralelos com o mundo real, são estes os pontos que os phishers exploram.
As possibilidades são inesgotáveis: os atacantes indicam a existência de uma foto da vítima circulando pela rede, de uma comunidade difamando-a, ou de um vídeo que deveria ser assistido, dentre outros.
Os sites de relacionamento são um terreno fértil para phishings, pois nas páginas de recados, além da disseminação de links ser normal, são de acesso público (se não forem definidos como privados), e há a possibilidade de fisgar outros usuários que naveguem pela rede.
Devido à desenfreada inclusão digital, temos nestes, ainda, muitos usuários leigos, completamente vulneráveis, passíveis de serem facilmente fraudados.
Por Mensageiros Instantâneos
Como uma das principais formas de comunicação no mundo atual, os mensageiros instantâneos estão longe de estarem isentos dos perigos do Phishing.
Na verdade, pode-se dizer que é um dos terrenos mais férteis para a proliferação deste ataque, devido a alguns factores, a serem aqui citados.
O primeiro destes factores é o tipo de comunicação que geralmente se estabelece em mensageiros instantâneos.
É uma comunicação mais informal, entre indivíduos que geralmente se conhecem ou são até mesmo grandes amigos.
Todo este ambiente “familiar” traz uma maior sensação de segurança, fazendo com que os cuidados sejam reduzidos, até porque em muitas vezes o remetente da mensagem é um "amigo de confiança" que foi, contudo, infectado por um malware que está distribuindo a mensagem através de sua rede de contactos.
Em segundo lugar, podemos citar a velocidade (em tempo real) e grande quantidade de conversas estabelecidas simultaneamente.
Estando o usuário perdido em tantas conversas, nas quais a troca de URL's é comum e constante, uma URL maliciosa tem maiores chances de passar despercebida.
Além disso, a maior percentagem de usuários deste tipo de software engloba leigos em geral, crianças e adolescentes, que muitas vezes não possuem a capacidade de discernir entre mensagens autênticas e maliciosas, acabando por acessar portais maliciosos e/ou efectuar o download de malwares sem ter notícia de tal.
Este fato agrava-se caso o computador seja compartilhado com outros que possam vir a efectuar possíveis transacções bancárias (ou acções de importância equivalente) nesta mesma máquina, uma vez que pode estar infectada por keyloggers.
Factores humanos somam-se a periculosidade do ataque de Phishing Scam, tornando este vector possivelmente mais ameaçador que e-mails.
Vishing Scam
A VoIP (Voice over IP), tecnologia desenvolvida para possibilitar comunicação telefónica através da rede baseando-se no Protocolo de Internet (IP), não se tornou uma excepção a regra.
Uma vez que apresenta diversas vantagens sobre a telefonia convencional, como o fato de ser uma tecnologia de baixo custo, e, acrescentando-se ainda a possibilidade de mascarar o número de telefone que será identificado pelo receptor, a VoIP configura-se como uma oportunidade para indivíduos, que, percebendo-a, criaram uma nova vertente baseada no Phishing Scam tradicional:
O Vishing Scam.
Ataques de Vishing Scam são geralmente propagados através de mensagens de texto (SMS), e-mails ou até mesmo mensagens de voz, e seu procedimento assemelha-se em muito ao do Phishing Scam tradicional.
Um destinatário envia mensagens SMS falsas fingindo ser uma instituição de confiança.
Estas mensagens pedem normalmente respostas com dados como cartão de crédito e senhas, ou até mesmo que a pessoa retorne a ligação para um certo número e fale com um atendente golpista.
As justificativas dadas para se efectuar a ligação variam, mas dentre as mais comuns delas podemos citar, por exemplo, “a ocorrência de possíveis actividades fraudulentas na conta bancária que levaram à suspensão da mesma”.
Uma vez que apresenta diversas vantagens sobre a telefonia convencional, como o fato de ser uma tecnologia de baixo custo, e, acrescentando-se ainda a possibilidade de mascarar o número de telefone que será identificado pelo receptor, a VoIP configura-se como uma oportunidade para indivíduos, que, percebendo-a, criaram uma nova vertente baseada no Phishing Scam tradicional:
O Vishing Scam.
Ataques de Vishing Scam são geralmente propagados através de mensagens de texto (SMS), e-mails ou até mesmo mensagens de voz, e seu procedimento assemelha-se em muito ao do Phishing Scam tradicional.
Um destinatário envia mensagens SMS falsas fingindo ser uma instituição de confiança.
Estas mensagens pedem normalmente respostas com dados como cartão de crédito e senhas, ou até mesmo que a pessoa retorne a ligação para um certo número e fale com um atendente golpista.
As justificativas dadas para se efectuar a ligação variam, mas dentre as mais comuns delas podemos citar, por exemplo, “a ocorrência de possíveis actividades fraudulentas na conta bancária que levaram à suspensão da mesma”.
iPhishing
iPhishing é a vertente que visa explorar vulnerabilidades consequentes do avanço excessivamente rápido da tecnologia, que acaba por deixar aspectos de segurança em segundo plano, dando lugar à funcionalidade e ao design.
O ataque pode ocorrer de algumas maneiras, mas podemos citar o envenenamento de DNS para exemplificar.
Um servidor DNS, ou Domain Name System (Sistema de Nomes e Domínios) tem como função traduzir nomes para IP's e IP's para nomes.
Um envenenamento de DNS faz com que usuários sejam redireccionados para sites diferentes daqueles que desejavam alcançar.
Devido a limitação de espaço na tela de portáteis como o iPhone, os usuários podem não conseguir ver toda a URL das páginas que visitam, tornando-se assim muito mais vulneráveis.
Fraude 419
Criada por estudantes universitários em meados de 1980, quando a economia petrolífera da Nigéria estava em crise, para manipular indivíduos interessados no petróleo nigeriano.
Eram inicialmente distribuídos por cartas ou fax, mas com a popularização do e-mail, este passou a ser o meio utilizado.
Na verdade, há registos de que a fraude já existia previamente, datando de antes de 1588, quando redigiam-se cartas supostamente provenientes de prisioneiros de castelos espanhóis, que prometiam compartilhar um tesouro com aquele que os enviasse dinheiro para subornar os guardas.
Seu nome vem da secção 419 do código penal nigeriano, que tipifica actividades fraudulentas.
O e-mail é proveniente de indivíduos que dizem ser do Banco Central da Nigéria ou do Governo deste mesmo país.
Porém a fraude 419 não se resume a meramente um único e-mail.
Muito além disso, é um verdadeiro jogo, no qual o risco e as regras dependem das capacidades de persuasão do atacante.
Vale frisar que neste caso, “atacante” pode ser lido como uma verdadeira equipe de criminosos profissionais, que articula minuciosamente seus planos.
Eram inicialmente distribuídos por cartas ou fax, mas com a popularização do e-mail, este passou a ser o meio utilizado.
Na verdade, há registos de que a fraude já existia previamente, datando de antes de 1588, quando redigiam-se cartas supostamente provenientes de prisioneiros de castelos espanhóis, que prometiam compartilhar um tesouro com aquele que os enviasse dinheiro para subornar os guardas.
Seu nome vem da secção 419 do código penal nigeriano, que tipifica actividades fraudulentas.
O e-mail é proveniente de indivíduos que dizem ser do Banco Central da Nigéria ou do Governo deste mesmo país.
Porém a fraude 419 não se resume a meramente um único e-mail.
Muito além disso, é um verdadeiro jogo, no qual o risco e as regras dependem das capacidades de persuasão do atacante.
Vale frisar que neste caso, “atacante” pode ser lido como uma verdadeira equipe de criminosos profissionais, que articula minuciosamente seus planos.
Spear Phishing
Spear Phishing traduz-se como um ataque de Phishing altamente localizado.
É um tipo de ataque que exige toda uma etapa de minuciosa pesquisa por parte dos atacantes, além de muita paciência.
Correlacionando ao nome “Phishing”, sua denominação pode ser entendida como algo semelhante à “pesca com arpão”.
Neste tipo de ataque, o atacante estabelece seu alvo (geralmente uma empresa/departamento desta, podendo incluir ainda universidades, instituições governamentais, dentre outras).
Logo em seguida, inicia a etapa na qual o phisher sonda informações básicas de diferentes funcionários.
Aqui, explora-se uma grande falha humana: A incapacidade de avaliar correctamente a sensibilidade de uma informação.
Enquanto sozinha, esta informação pode não significar muito, mas em conjunto, se inteligentemente utilizada pelo atacante, pode garantir-lhe conhecimento suficiente para assimilar a identidade de alguém com mais poder na empresa.
É um tipo de ataque que exige toda uma etapa de minuciosa pesquisa por parte dos atacantes, além de muita paciência.
Correlacionando ao nome “Phishing”, sua denominação pode ser entendida como algo semelhante à “pesca com arpão”.
Neste tipo de ataque, o atacante estabelece seu alvo (geralmente uma empresa/departamento desta, podendo incluir ainda universidades, instituições governamentais, dentre outras).
Logo em seguida, inicia a etapa na qual o phisher sonda informações básicas de diferentes funcionários.
Aqui, explora-se uma grande falha humana: A incapacidade de avaliar correctamente a sensibilidade de uma informação.
Enquanto sozinha, esta informação pode não significar muito, mas em conjunto, se inteligentemente utilizada pelo atacante, pode garantir-lhe conhecimento suficiente para assimilar a identidade de alguém com mais poder na empresa.
Um estelionatário envia e-mails falsos forjando a identidade de entidades populares consideradas confiáveis, tais como sites de entretenimento, bancos, empresas de cartão de crédito, lojas, órgãos governamentais etc.
Geralmente, as mensagens são enviadas para milhões de endereços de e-mail que foram previamente colectados na Internet.
A entrega dos e-mails, normalmente, é feita por computadores que estão sob o controle de pessoas mal intencionadas e incluem principalmente servidores de e-mail mal configurados e computadores com conexão banda larga infectados com cavalos de Tróia propositadamente desenvolvidos para permitir o envio de e-mail em massa.
Geralmente, as mensagens são enviadas para milhões de endereços de e-mail que foram previamente colectados na Internet.
A entrega dos e-mails, normalmente, é feita por computadores que estão sob o controle de pessoas mal intencionadas e incluem principalmente servidores de e-mail mal configurados e computadores com conexão banda larga infectados com cavalos de Tróia propositadamente desenvolvidos para permitir o envio de e-mail em massa.
Tipos de mensagens electrónicas utilizadas
Spear Phishing
Fraude 419
iPhishing
Vishing Scam
Por Mensageiros Instantâneos
Sites de Relacionamento
Phishing
O termo Phishing é relativamente novo, e sua criação data de meados de 1996, por crackers que praticavam roubo de contas da America Online (AOL), fraudando senhas de usuários.
Sua primeira menção pública ocorreu no grupo blackhat alt.2600, em 28 de Janeiro do mesmo ano de sua criação, feita pelo usuário mk590, que dizia:
"O que acontece é que antigamente, podia-se fazer uma conta falsa na AOL, uma vez que se tivesse um gerador de cartões de crédito.
Porém, a AOL foi esperta.
Agora, após digitar-se os dados do cartão, é feita uma verificação com o respectivo banco.
Alguém mais conhece outra maneira de adquirir uma conta que não seja através de Phishing?"
Apenas um ano depois, em 1997, o termo foi citado na mídia.
Neste mesmo ano, os phishs (contas hackeadas) já eram utilizados como moeda no mundo hacker, e podia-se facilmente trocar 10 phishs da AOL por uma parte de um software malicioso.
O Phishing, antigamente utilizado para roubar contas de usuários da America Online, hoje tem aplicações muito maiores e obscuras, como por exemplo, o roubo de dinheiro de contas bancárias.
Sua primeira menção pública ocorreu no grupo blackhat alt.2600, em 28 de Janeiro do mesmo ano de sua criação, feita pelo usuário mk590, que dizia:
"O que acontece é que antigamente, podia-se fazer uma conta falsa na AOL, uma vez que se tivesse um gerador de cartões de crédito.
Porém, a AOL foi esperta.
Agora, após digitar-se os dados do cartão, é feita uma verificação com o respectivo banco.
Alguém mais conhece outra maneira de adquirir uma conta que não seja através de Phishing?"
Apenas um ano depois, em 1997, o termo foi citado na mídia.
Neste mesmo ano, os phishs (contas hackeadas) já eram utilizados como moeda no mundo hacker, e podia-se facilmente trocar 10 phishs da AOL por uma parte de um software malicioso.
O Phishing, antigamente utilizado para roubar contas de usuários da America Online, hoje tem aplicações muito maiores e obscuras, como por exemplo, o roubo de dinheiro de contas bancárias.
Formulários HTML Falsos em E-mails
Outra técnica menos frequente é a utilização de formulários em emails com formatação HTML.
Com isso, um usuário incauto pode directamente no seu email incluir as informações requeridas pelo atacante, e com isso, esse não precisa se preocupar com a clonagem da interface do banco.
As buscas por essas informações sensíveis crescem com o aumento da possibilidade de realizar as mais diversas tarefas no conforto do lar.
Isso pode trazer a uma grande massa de internautas uma ilusória sensação de segurança. Diz-se ilusória pois, uma vez que a internet é uma tendência globalizada, não menos do que esperada é a presença de criminosos.
Aproveitando-se da desatenção de certos usuários, indivíduos maliciosos desenvolvem e põem em prática métodos cada vez mais sofisticados para cometer acções ilícitas, entre eles, a oferenda de bens, montantes exorbitantes e negócios potencialmente irrecusáveis.
Alguns destes métodos, contudo, se destacam por sua eficácia e rendimento, e dentre estes, podemos citar, certamente, o ataque de Phishing Scam.
URLs Falsas
Uma outra maneira é a criação de URLs extensas que dificultam a identificação por parte do usuário.
Um exemplo simples pode ser:
secure.nomedoseubanco.com.br/internetbanking/eud=651656JFYDHJJUHGRedirectto:maisalgumacoisa.dominiofalso.com
Onde o usuário pode diretamente olhar o início da URL e acreditar que está na região segura do site do seu banco, enquanto que na verdade está em um subdomínio do website dominiofalso.com.
Ataque ao Servidor DNS
Ataque baseado na técnica "DNS cache poisoning", ou envenenamento de cache DNS, que consiste em corromper o DNS (Sistema de nomes de domínio) em uma rede de computadores, fazendo com que a URL (localizador uniforme de recursos ou endereço www) de um site passe a apontar para um servidor diferente do original.
Ao digitar a URL(endereço) do site que deseja acessar, um banco por exemplo, o servidor DNS converte o endereço em um número IP, correspondente ao do servidor do banco.
Se o servidor DNS estiver vulnerável a um ataque de Pharming, o endereço poderá apontar para uma página falsa hospedada em outro servidor com outro endereço IP, que esteja sob controle de um golpista.
Ao digitar a URL(endereço) do site que deseja acessar, um banco por exemplo, o servidor DNS converte o endereço em um número IP, correspondente ao do servidor do banco.
Se o servidor DNS estiver vulnerável a um ataque de Pharming, o endereço poderá apontar para uma página falsa hospedada em outro servidor com outro endereço IP, que esteja sob controle de um golpista.
Whaling
Whaling — em referência à pesca da baleia, pelo acto de apanhar um peixe grande — envolve a procura de dados e informação relativas a altos cargos ou personalidades de relevância.
Neste caso, os ataques estão normalmente disfarçados de notificações judiciais, queixas de clientes ou outras questões empresariais.
Neste caso, os ataques estão normalmente disfarçados de notificações judiciais, queixas de clientes ou outras questões empresariais.
Clone phishing
Clone phishing designa a tentativa de dirigir o utilizador a um sítio clonado do original ao que a vítima pretende aceder.
Consiste normalmente uma página de início de sessão que requer a inserção de credenciais que são depois armazenadas pelos atacantes e o utilizador redirigido para o sítio original.
Pode também incluir o redirecionamento de uma cópia de email legítimo (previamente recebido pelos atacantes) ou falsificado para a vítima, no qual a ligação para um portal é falsificada para que pareça originar-se num utilizador ou instituição legítimos.
Consiste normalmente uma página de início de sessão que requer a inserção de credenciais que são depois armazenadas pelos atacantes e o utilizador redirigido para o sítio original.
Pode também incluir o redirecionamento de uma cópia de email legítimo (previamente recebido pelos atacantes) ou falsificado para a vítima, no qual a ligação para um portal é falsificada para que pareça originar-se num utilizador ou instituição legítimos.
Spear phishing
Técnicas de phishing direccionadas a instituições ou indivíduos específicos são denominadas de spear phishing.
Consiste na colecção de detalhes e informação pessoais de modo a aumentar a probabilidade de sucesso dos atacantes.
É a técnica de phishing mais eficaz actualmente, sendo responsável por 91% de ataques deste género.
Consiste na colecção de detalhes e informação pessoais de modo a aumentar a probabilidade de sucesso dos atacantes.
É a técnica de phishing mais eficaz actualmente, sendo responsável por 91% de ataques deste género.
Phishing
Phishing é o termo que designa as tentativas de obtenção de informação pessoalmente identificável através de uma suplantação de identidade por parte de criminosos em contextos informáticos (engenharia social).
A palavra é um neologismo criado a partir do inglês fishing (pesca) devido à semelhança entre as duas técnicas, servindo-se de um isca para apanhar uma vítima.
Em 2014, estimava-se que o seu impacto económico mundial fosse de 5 mil milhões de dólares.
É normalmente levado a cabo através da falsificação de comunicação electrónica — spoofing —
de correio ou mensagens,
dirigindo o utilizador para um estado semelhante ao original e incitando-o a preencher campos onde detalhe dados como nomes de utilizador, chaves de acesso ou detalhes bancários.
Estas tentativas fingem ter como origem portais sociais, instituições bancárias ou administradores de sistemas e podem conter ligações a sítios infectados por ameaças.
Para além disto, pode servir para a instalação de software malicioso no sistema da vítima, podendo servir de plataforma para outro tipo de ataques, como por exemplo as ameaças persistentes avançadas.
Está inserido nas técnicas de engenharia social utilizadas com o objetivo de enganar um utilizador, e explora vulnerabilidades na segurança atual da internet.
Tentativas para colmatar o problema incluem a criação de legislação, educação e sensibilização do público e da implementação de melhorias nas técnicas de segurança.
A palavra é um neologismo criado a partir do inglês fishing (pesca) devido à semelhança entre as duas técnicas, servindo-se de um isca para apanhar uma vítima.
Em 2014, estimava-se que o seu impacto económico mundial fosse de 5 mil milhões de dólares.
É normalmente levado a cabo através da falsificação de comunicação electrónica — spoofing —
de correio ou mensagens,
dirigindo o utilizador para um estado semelhante ao original e incitando-o a preencher campos onde detalhe dados como nomes de utilizador, chaves de acesso ou detalhes bancários.
Estas tentativas fingem ter como origem portais sociais, instituições bancárias ou administradores de sistemas e podem conter ligações a sítios infectados por ameaças.
Para além disto, pode servir para a instalação de software malicioso no sistema da vítima, podendo servir de plataforma para outro tipo de ataques, como por exemplo as ameaças persistentes avançadas.
Está inserido nas técnicas de engenharia social utilizadas com o objetivo de enganar um utilizador, e explora vulnerabilidades na segurança atual da internet.
Tentativas para colmatar o problema incluem a criação de legislação, educação e sensibilização do público e da implementação de melhorias nas técnicas de segurança.
34
Phishing e-mail attacks have caused severe harm to a company.
The security office decides to provide training to all users in phishing prevention.
Which of the following are true statements regarding identification of phishing attempts?
1)Ensure an e-mail is from a trusted, legitimate e-mail address source.
2)Verify the spelling and grammar are correct.
3)Verify all links before clicking them.
Phishing e-mails can be spotted by who they are from,
who they are addressed to,
spelling and grammar errors,
and unknown or malicious embedded links.
The security office decides to provide training to all users in phishing prevention.
Which of the following are true statements regarding identification of phishing attempts?
1)Ensure an e-mail is from a trusted, legitimate e-mail address source.
2)Verify the spelling and grammar are correct.
3)Verify all links before clicking them.
Phishing e-mails can be spotted by who they are from,
who they are addressed to,
spelling and grammar errors,
and unknown or malicious embedded links.
33
You are examining an internal web server and discover there are two hours missing from the log files.
No users complained of downtime or accessibility issues.
Which of the following is most likely true?
The server was compromissed by an attacker.
it´s a web server used by employees all day during normal business hours and there´s "nothing" in the log?
Despite this, none of the users complained about it being down at all?
No, we think this one os going to require some forensics work.
Call the IR team.
The log file being corrupted would´ve been throughout.
A crisp two-hour window doesn´t match up with that.
If the system were rebooted, that in and of itself would´ve shown in the log.
It defines common sense and probability that absolutely nothing occurred to the web server during normal business hours.
No users complained of downtime or accessibility issues.
Which of the following is most likely true?
The server was compromissed by an attacker.
it´s a web server used by employees all day during normal business hours and there´s "nothing" in the log?
Despite this, none of the users complained about it being down at all?
No, we think this one os going to require some forensics work.
Call the IR team.
The log file being corrupted would´ve been throughout.
A crisp two-hour window doesn´t match up with that.
If the system were rebooted, that in and of itself would´ve shown in the log.
It defines common sense and probability that absolutely nothing occurred to the web server during normal business hours.
32
Which of the following is true regarding ESP in Tunnel Mode?
It encrypts the entire packet.
If you think about tunneling across the internet, this makes perfect sense --
of course the entire packet is encrypted.
Tunnel Mode encrypts the entire packet
authentication and integrity gp. that is provided by AH but usually only in Transport Mode.
It encrypts the entire packet.
If you think about tunneling across the internet, this makes perfect sense --
of course the entire packet is encrypted.
Tunnel Mode encrypts the entire packet
authentication and integrity gp. that is provided by AH but usually only in Transport Mode.
31
Which of the following statements is true regarding NetStumbler?
NetStumbler can be installed on Windows.
NetStumbler is a Windows tool.
it can detect wireless traffic on 802.11a,b, and g networks but not on 802.11n networks.
NetStumbler can´t be installed on anything but Windows.
Additionally, it doesn´t support monitor mode
(used in passive scanning).
NetStumbler can be installed on Windows.
NetStumbler is a Windows tool.
it can detect wireless traffic on 802.11a,b, and g networks but not on 802.11n networks.
NetStumbler can´t be installed on anything but Windows.
Additionally, it doesn´t support monitor mode
(used in passive scanning).
30
Which of the following statements is true?
WebGoat is maintained by OWASP.
WebGoat has 30 or so "lessons" embedded to display how security vulnerabilities work on a system.
It is maintained by OWASP, can be installed on virtually any platform, works well with Java and .NET, and provides the perfect "black box" testing opportunity for new, and seasoned, pen testers to practice on without fear of breaking something.
WebGoat is maintained by OWASP.
WebGoat has 30 or so "lessons" embedded to display how security vulnerabilities work on a system.
It is maintained by OWASP, can be installed on virtually any platform, works well with Java and .NET, and provides the perfect "black box" testing opportunity for new, and seasoned, pen testers to practice on without fear of breaking something.
29
Which of the following represents the highest risk to an organization´s IT security?
A disgruntled employee
The internal disgruntled employee represents the biggest risk to your organization.
Script kiddies are novice hackers who rely on tools and luck.
Phishing is an e-mail social engineering attack.
A white-hat attacker would be an ethical hacker as part of an assessment.
A disgruntled employee
The internal disgruntled employee represents the biggest risk to your organization.
Script kiddies are novice hackers who rely on tools and luck.
Phishing is an e-mail social engineering attack.
A white-hat attacker would be an ethical hacker as part of an assessment.
28
Which virus type is only executed when a specific condition is met?
Sparse infector
Sparse infector viruses only fire when a specific condition is met.
For example, maybe the fifth time Calculator is run, whammo--virus execution.
Multipartite viruses attempt to infect both files and the boot sector at the same time.
Metamorphic viruses rewrite themselves each time they infect a new file.
Cavity viruses overwrite unused portions of a file, not change its size.
Sparse infector
Sparse infector viruses only fire when a specific condition is met.
For example, maybe the fifth time Calculator is run, whammo--virus execution.
Multipartite viruses attempt to infect both files and the boot sector at the same time.
Metamorphic viruses rewrite themselves each time they infect a new file.
Cavity viruses overwrite unused portions of a file, not change its size.
27
A hacker performs attacks because of political motivation.
Which term best describes this attacker?
Hacktivist
Hackers who use their skills and talents to forward a cause or a political agenda are practicing hacktivism.
Script kiddies generally just copy attack codes and don´t really have much in the way of a skill set.
State-sponsored hacking is exactly may indeed be a hacktivist, but he doesn´t care about being caught
(unless the questions specifies this; don´t assume it).
Which term best describes this attacker?
Hacktivist
Hackers who use their skills and talents to forward a cause or a political agenda are practicing hacktivism.
Script kiddies generally just copy attack codes and don´t really have much in the way of a skill set.
State-sponsored hacking is exactly may indeed be a hacktivist, but he doesn´t care about being caught
(unless the questions specifies this; don´t assume it).
26
Which of the following is a command-line sniffer and packet analyzer?
tcpdump
Tcpdump is a well-known sniffer that has been around forever.
GUI-based sniffers - like Wireshark- are all the rage, but tcpdump has survived the test of time and still has a place in your toolset.
Nessus is a vulnerability scanner,
netstat will display port information on your system, and
netcat is used for maintaining access on a system
(along with other things).
tcpdump
Tcpdump is a well-known sniffer that has been around forever.
GUI-based sniffers - like Wireshark- are all the rage, but tcpdump has survived the test of time and still has a place in your toolset.
Nessus is a vulnerability scanner,
netstat will display port information on your system, and
netcat is used for maintaining access on a system
(along with other things).
25
You are running an IDLE scan using hping2.
As the scan continues, you note the IPID is increamenting randomly.
What does this tell you?
your target machine is not an IDLE zombie;
it is active on the network with other tasks.
An IDLE scan makes use of a zombie system that is inactive on the network, using the resulting IPID numbers for scan results.
If the numbers increment randomly, then the zombie is not truly idle.
The results have nothing to do with a firewall,
this scan cannot tell you which OS is running, and
this is not the expeted behavior from an idle zombie.
As the scan continues, you note the IPID is increamenting randomly.
What does this tell you?
your target machine is not an IDLE zombie;
it is active on the network with other tasks.
An IDLE scan makes use of a zombie system that is inactive on the network, using the resulting IPID numbers for scan results.
If the numbers increment randomly, then the zombie is not truly idle.
The results have nothing to do with a firewall,
this scan cannot tell you which OS is running, and
this is not the expeted behavior from an idle zombie.
24
You are examining malware code and discover that a particular piece copies itself into the location
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
What is the purpose of this?
To ensure the malware runs at every login to the OS.
This key indicates an application that should run as soon as the user logs in to the system.
An application found in this key does not run at every boot, and an entry here does nothing to hide it from antivirus software on the system.
All aplications do not need to appear in this registry key.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
What is the purpose of this?
To ensure the malware runs at every login to the OS.
This key indicates an application that should run as soon as the user logs in to the system.
An application found in this key does not run at every boot, and an entry here does nothing to hide it from antivirus software on the system.
All aplications do not need to appear in this registry key.
23
A security team member enters the following:
'''nmap -d -script ssl-heartbleed
-script-args vulns.showall -sV[host]'''
Which of the following would you expect to see returned?
A return of "State: NOT VULNERABLE" on systems protected against Heartbleed
You can use the nmap command
"nmap -d -script ssl-heartbleed -script -args
vulns.showall -sV[host]"
to reach for the vulnerability;
the returned message will say "State: NOT VULNERABLE" if you´re good to go.
'''nmap -d -script ssl-heartbleed
-script-args vulns.showall -sV[host]'''
Which of the following would you expect to see returned?
A return of "State: NOT VULNERABLE" on systems protected against Heartbleed
You can use the nmap command
"nmap -d -script ssl-heartbleed -script -args
vulns.showall -sV[host]"
to reach for the vulnerability;
the returned message will say "State: NOT VULNERABLE" if you´re good to go.
22
Internet attackers - state-sponsored or otherwise--often discover vulnerabilities in a service or product but keep the information quiet and to themselves, thus ensuring the vendor in unaware of the vulnerability until the attackers are ready to launch an exploit.
Which of the following best describes this?
Zero-day attack
A zero-day attack is one carried out on a vulnerability the good guys didn´t even know existed.
The true horror of such attacks is that you do not know about the vulnerability until it´s far too late.
Which of the following best describes this?
Zero-day attack
A zero-day attack is one carried out on a vulnerability the good guys didn´t even know existed.
The true horror of such attacks is that you do not know about the vulnerability until it´s far too late.
21
Which of the following provides a means to discover an organization´s restricted URLs and possibly OS information from selected targets?
netcraft
Netcraft has been around for a while and is highlighted repeatedly by ECC.
It can be used to discover restricted URLs and to fingerprint OS information.
Neither nmap nor whois provides the means to discover restricted URLs.
Facebook is absurd as a response.
netcraft
Netcraft has been around for a while and is highlighted repeatedly by ECC.
It can be used to discover restricted URLs and to fingerprint OS information.
Neither nmap nor whois provides the means to discover restricted URLs.
Facebook is absurd as a response.
20
To log in to her network, Jill uses a token and a four-digit PIN.
Which authentication measure best describes this?
Two-factor authentication
Because Jill uses something she had(a token) and something she knows(the PIN),
this is considered two-factor authentication.
Two factors are used for authentication here.
Which authentication measure best describes this?
Two-factor authentication
Because Jill uses something she had(a token) and something she knows(the PIN),
this is considered two-factor authentication.
Two factors are used for authentication here.
19
Which of the following focuses on protecting customer credit card data?
PCI DSS
if you knew that PCI stood for "Payment Card Industry"
and DSS stood for "Data Security Standard",
this one was a piece of cake.
PCI DSS is actually an evaluation standard developed by the Payment Card industry Security Standards Council(PCI SSC, which includes American Express, Discover, MasterCard, and Visa, by the way)
To secure networks and storage environments for credit card consumer data.
The Trusted Computer System Evaluation Criteria(TCSEC) security evaluation standard
is also knows as the Orange Book and was created by the DoD to define different types of access controls.
The Trusted Network Interpretation Environments.
Common Criteria was designed to help remove vulnerabilities in products before they´re released, and it´s an international standard.
ITSEC is an encryption standard.
PCI DSS
if you knew that PCI stood for "Payment Card Industry"
and DSS stood for "Data Security Standard",
this one was a piece of cake.
PCI DSS is actually an evaluation standard developed by the Payment Card industry Security Standards Council(PCI SSC, which includes American Express, Discover, MasterCard, and Visa, by the way)
To secure networks and storage environments for credit card consumer data.
The Trusted Computer System Evaluation Criteria(TCSEC) security evaluation standard
is also knows as the Orange Book and was created by the DoD to define different types of access controls.
The Trusted Network Interpretation Environments.
Common Criteria was designed to help remove vulnerabilities in products before they´re released, and it´s an international standard.
ITSEC is an encryption standard.
18
Your cloud deployment method shares infrastructure with several organizations.
Which of the following best describes your deployment method?
Community
A community cloud model is one where the infrastructure is shared by several organizations, usually with the same policy and compilance considerations.
For example,
multiple different state-level organizations may get together and take advantage of a community cloud for services they require
A private cloud model is operated solely for a single organization
(a.k.a. single-tenant environment),
is usually nor a pay-as-you-go type of operation, and is usually preferred by larger organizations.
A public cloud model is one where services are provided over a network that is open for public use(like the internet).
The hybrid cloud model is exactly what it sounds like- a composite of two or more cloud deployment models.
Which of the following best describes your deployment method?
Community
A community cloud model is one where the infrastructure is shared by several organizations, usually with the same policy and compilance considerations.
For example,
multiple different state-level organizations may get together and take advantage of a community cloud for services they require
A private cloud model is operated solely for a single organization
(a.k.a. single-tenant environment),
is usually nor a pay-as-you-go type of operation, and is usually preferred by larger organizations.
A public cloud model is one where services are provided over a network that is open for public use(like the internet).
The hybrid cloud model is exactly what it sounds like- a composite of two or more cloud deployment models.
17
Which of the following statements best defines smishing?
It is sending SMS texts to a user in an effort to trick them into downloading malicious code.
Smishing comes from cramming SMS(texting) and phishing together.
"Smishing" get it?
The idea is the same as with phishing, except you use text messaging to trick users into downloading stuff
It is sending SMS texts to a user in an effort to trick them into downloading malicious code.
Smishing comes from cramming SMS(texting) and phishing together.
"Smishing" get it?
The idea is the same as with phishing, except you use text messaging to trick users into downloading stuff
16
Which of the following consists of a publicly available set of databases containing domain name registration contact information?
Whois
Whois provides all sorts of information on registrants-technical POCs, who registered the domain, contact numbers, and so on.
Incorrect:
CAPTCHA is a means to distinguish human from machine input, where a text entry or a picture identification requieres a real human to click or enter it.
IANA regulates IP allocation
IETF is a standards organization.
Whois
Whois provides all sorts of information on registrants-technical POCs, who registered the domain, contact numbers, and so on.
Incorrect:
CAPTCHA is a means to distinguish human from machine input, where a text entry or a picture identification requieres a real human to click or enter it.
IANA regulates IP allocation
IETF is a standards organization.
15
Which of the following is NOT a role within the cloud architecture, as defined by NIST?
Cloud subscriber
The five roles defined by NIST SP 500-292 are
cloud carrier, cloud consumer, cloud provider, cloud broker, and cloud auditor.
Cloud subscriber sounds good, but it is not recognized within NIST SP 500-292.
Cloud subscriber
The five roles defined by NIST SP 500-292 are
cloud carrier, cloud consumer, cloud provider, cloud broker, and cloud auditor.
Cloud subscriber sounds good, but it is not recognized within NIST SP 500-292.
14
Which of the following represents the correct steps you should take when encrypting and signing a message using PKI?
1.Create a hash of the message.
2.Encrypt the hash with your private key.
3 Encrypt the message with the recipient´s public key.
A digital signature is a hash of the message signed with your private key-- which is a little different because we all know only your public key is used to encrypt.
In this case, the use of the private key is designed to prove you are who you say you are.
signing and encrypting a message.
1.Create a hash of the message.
2.Encrypt the hash with your private key.
3 Encrypt the message with the recipient´s public key.
A digital signature is a hash of the message signed with your private key-- which is a little different because we all know only your public key is used to encrypt.
In this case, the use of the private key is designed to prove you are who you say you are.
signing and encrypting a message.
13
Which of the following is a design pattern where services are provided to other components by specific application components?
Service-Oriented Architecture
First termed "Service-Based Architecture" in 1998, Service-Oriented Architecture is based on distinct pieces of software providing application functionalitity as service to other applications.
Service-Oriented Architecture principles are vender-neutral.
A service is defined as a discrete unit of functionality that can be accessed remotely and acted upon or updated independently.
Object-oriented Architecture is regarding architecture based on the division of responsibilities for an application or system into individual reusable and self-sufficient objects.
Learn code and agile delivery do not apply here.
Service-Oriented Architecture
First termed "Service-Based Architecture" in 1998, Service-Oriented Architecture is based on distinct pieces of software providing application functionalitity as service to other applications.
Service-Oriented Architecture principles are vender-neutral.
A service is defined as a discrete unit of functionality that can be accessed remotely and acted upon or updated independently.
Object-oriented Architecture is regarding architecture based on the division of responsibilities for an application or system into individual reusable and self-sufficient objects.
Learn code and agile delivery do not apply here.
12
Which of the following are advantages to a single sign-on system?
Many user authentication problems can be resolved at a central location.
Users do not need to memorize multiple passwords.
Single sign-on is a great thing for users( remember, one password instead of many)
and provides some great benefits for administrators as well.
Because other users are on one password, most authentication issues can be handled with that one password, at the SSO point.
Whether you´re using SSO or not, attacks can, and do, occur at every point.
SSO implementation had nothing to do with logging.
Many user authentication problems can be resolved at a central location.
Users do not need to memorize multiple passwords.
Single sign-on is a great thing for users( remember, one password instead of many)
and provides some great benefits for administrators as well.
Because other users are on one password, most authentication issues can be handled with that one password, at the SSO point.
Whether you´re using SSO or not, attacks can, and do, occur at every point.
SSO implementation had nothing to do with logging.
11
The organization has a DNS server out in the DMZ and a second internal to the network.
Which of the following best describes this DNS configuration?
Split DNS
Split DNS is recommended virtually everywhere.
internal hosts may need to see everything internal, but external hosts do not.
Keep internal DNS records split away from external, as there is no need for anyone outside your organization to see them.
Which of the following best describes this DNS configuration?
Split DNS
Split DNS is recommended virtually everywhere.
internal hosts may need to see everything internal, but external hosts do not.
Keep internal DNS records split away from external, as there is no need for anyone outside your organization to see them.
10
Which of the folowing was a piece of malware aimed at Android phones, taking advantage of two-factor authentication to control the phone itself?
ZitMo
ZitMo(ZeuS-in-the-Mobile) was designed to capture the phone itself, ensuring the one-time passwords also belonged to the bad guys.
The target would log on to their bank account and see a message telling them to download an application to their phone in order to receive security messages.
Thinking they were installing a security mesure, victims instead were installing the means for the attacker to have access to their credentials, not to mention the second authentication factor
(usually sent only to the victim via text).
POODLE is a TLS vulnerability attack.
Melissa was a worm
SocAndroid is not valid.
ZitMo
ZitMo(ZeuS-in-the-Mobile) was designed to capture the phone itself, ensuring the one-time passwords also belonged to the bad guys.
The target would log on to their bank account and see a message telling them to download an application to their phone in order to receive security messages.
Thinking they were installing a security mesure, victims instead were installing the means for the attacker to have access to their credentials, not to mention the second authentication factor
(usually sent only to the victim via text).
POODLE is a TLS vulnerability attack.
Melissa was a worm
SocAndroid is not valid.
9
Valuable, sensitive data appears to have been stored from the organization.
Investigation shows no apparent successful attacks against the business infrastructure over several months.
During the investigationn, a user returns a laptop found to hold the sensitive information on it.
When required, she admitted to using the laptop after work at a local Starbucks while having an afternnon coffe.
Which of the following attacks did she most likely fall victim of?
Honeyspot
Facking a well-known hotspot on a rogue AP(such as McDonald`s or Starbucks free Wi-Fi spots)
is referred to as a "honeyspot" attack.
Other names for this include rogue access point and "mis-association".
Starbucking and misappropriation are not wireless attacks (even though they sound cool enought to be).
BYOD refers to "bring your own device"
which is a work policy allowing personal mobile devices to access the corporate network
Investigation shows no apparent successful attacks against the business infrastructure over several months.
During the investigationn, a user returns a laptop found to hold the sensitive information on it.
When required, she admitted to using the laptop after work at a local Starbucks while having an afternnon coffe.
Which of the following attacks did she most likely fall victim of?
Honeyspot
Facking a well-known hotspot on a rogue AP(such as McDonald`s or Starbucks free Wi-Fi spots)
is referred to as a "honeyspot" attack.
Other names for this include rogue access point and "mis-association".
Starbucking and misappropriation are not wireless attacks (even though they sound cool enought to be).
BYOD refers to "bring your own device"
which is a work policy allowing personal mobile devices to access the corporate network
8
Which of the following attacks is also know as "cross-guest VM breach"?
Side channel
Side-channel attacks, also known as "cross-guest VM breach" deal with the virtualization itself.
If an attacker can somehow gain control of an existing VM(or place his own)
on the same physical host as the target, he may be able to pull off lots of naughty activities.
Session riding is, in effect, simply CSRF is an attack leveraging a legitimate open session with a pshishing attack to send a message from the user´s browser to the target server without the user knowing it.
VM strafing sounds like fun, depending on the caliber, but is not a legitimate attack.
Side channel
Side-channel attacks, also known as "cross-guest VM breach" deal with the virtualization itself.
If an attacker can somehow gain control of an existing VM(or place his own)
on the same physical host as the target, he may be able to pull off lots of naughty activities.
Session riding is, in effect, simply CSRF is an attack leveraging a legitimate open session with a pshishing attack to send a message from the user´s browser to the target server without the user knowing it.
VM strafing sounds like fun, depending on the caliber, but is not a legitimate attack.
7
Which jailbreaking method does not retain the patched kernel after reboot,
bud does leave the software on the device, allowing for future jailbreak activities?
Semi-tethered jailbreaking
In semi-tethered jailbreaking, a reboot no longer retains the patched kernel;
however, the software has already been added to the device.
Therefore, if admin privileges are required, the installed jailbreaking tool can be used.
A reboot removes all jailbreacking patches in tethered mode, and in untethered mode, the kernel will remain patched(that is, jailbroken)
after reboot, with or without a system connection.
Rooting is associated with Android devices, not IOS.
bud does leave the software on the device, allowing for future jailbreak activities?
Semi-tethered jailbreaking
In semi-tethered jailbreaking, a reboot no longer retains the patched kernel;
however, the software has already been added to the device.
Therefore, if admin privileges are required, the installed jailbreaking tool can be used.
A reboot removes all jailbreacking patches in tethered mode, and in untethered mode, the kernel will remain patched(that is, jailbroken)
after reboot, with or without a system connection.
Rooting is associated with Android devices, not IOS.
6
A pen test member has gained access to a facility.
She positions herself beside a partition wall in such a way that the screen activity on an employee is clearly viewable.
Which social engineering attack is this?
Shoulder surfing
Shoulder surfing occurs when an attacker stands behind an authorized user and watches their screen activity.
Impersonation occurs when an attacker pretends to be a person of authority.
Tailgating occurs when the attacker uses a fake badge and follows employees through an open door, whereas piggybacking does not involve the use a badge of any sort.
She positions herself beside a partition wall in such a way that the screen activity on an employee is clearly viewable.
Which social engineering attack is this?
Shoulder surfing
Shoulder surfing occurs when an attacker stands behind an authorized user and watches their screen activity.
Impersonation occurs when an attacker pretends to be a person of authority.
Tailgating occurs when the attacker uses a fake badge and follows employees through an open door, whereas piggybacking does not involve the use a badge of any sort.
5
Which of the following attacks is directly mitigated via the use of a man trap?
tailgating
The whole idea of a man trap is to have a single person´s credentials and authorization to procees verified before she can enter the building.
No one can tailgate a man trap because only one person at a time is allowed in.
Dumpster diving has nothing to do with a man trap.
Shoulder surfing and eavesdropping are done once you´re already inside the building.
tailgating
The whole idea of a man trap is to have a single person´s credentials and authorization to procees verified before she can enter the building.
No one can tailgate a man trap because only one person at a time is allowed in.
Dumpster diving has nothing to do with a man trap.
Shoulder surfing and eavesdropping are done once you´re already inside the building.
4
Ethical hacker Brad is testing insecure direct object reference.
He attempts to gain account access to resources under a username he discovered called Joe.
Which of the following best demonstrates an attempt to exploit the insecure direct object reference?
GET /restricted/accounts/?name=Joe
HTTP/1.1 Host:somebank.com
this attempts direct access to Joe`s account.
The following is from OWASP´s page on the subject:
"Applications frequently use the actual name or key of an object when generating web pages.
Applications don´t always verify the user is authorized for the target object.
This results in an insecure direct object reference flaw"
An attacker, who is an authorized system user, simply changes a parameter value that directly refers to a system object to another object the user isn´t authorized for.
He attempts to gain account access to resources under a username he discovered called Joe.
Which of the following best demonstrates an attempt to exploit the insecure direct object reference?
GET /restricted/accounts/?name=Joe
HTTP/1.1 Host:somebank.com
this attempts direct access to Joe`s account.
The following is from OWASP´s page on the subject:
"Applications frequently use the actual name or key of an object when generating web pages.
Applications don´t always verify the user is authorized for the target object.
This results in an insecure direct object reference flaw"
An attacker, who is an authorized system user, simply changes a parameter value that directly refers to a system object to another object the user isn´t authorized for.
2
Which of the following is a legitimate use for tcp-over-dns?
Firewall evasion
Tunneling through a firewall is a great evasion technique, and the tcp-over-dns tool accomplishes this by tunneling over the Domain name System(DNS).
~
Port 53 is usually open on firewalls because... well, everything uses and needs DNS.
The tcp-over-dns tool takes advantage of that.
As as aside, it also requeires Java runtime environment 6.0 or later and is supported on Windows, Linux, and Solaris.
Firewall evasion
Tunneling through a firewall is a great evasion technique, and the tcp-over-dns tool accomplishes this by tunneling over the Domain name System(DNS).
~
Port 53 is usually open on firewalls because... well, everything uses and needs DNS.
The tcp-over-dns tool takes advantage of that.
As as aside, it also requeires Java runtime environment 6.0 or later and is supported on Windows, Linux, and Solaris.
1
Internet attackers- state-sponsored or otherwise-often discover vulnerabilities in a service or product but keep the information quiet and to themselves, thus ensuring the vendor is unaware of the vulnerability until the attackers are ready to launch an exploit.
Whch of the foloowing best describes this?
Whch of the foloowing best describes this?
Subscrever:
Comentários (Atom)