wiki

Segurança-2021-1

Dúvidas


  • [Luiz Cláudio] 01. Qual a diferença entre DOS e DDOS?
    • Os ataques DoS envolvem apenas um atacante, isto é, utiliza-se apenas um único computador o qual realizará diversos pedidos de pacotes para o alvo. Sendo um tipo de ataque no qual o hacker possuiu como alvo apenas derrubar computadores comuns com pouca banda e com baixas especificações técnicas servidores ineficientes/fracos
    • Por outro lado, ataque Distributed Denial of Service (DDoS), que se traduz ataque distribuído de negação de serviço (tendo como diferença a palavra distribuído), ocorre de forma similar ao DoS. Nele, um computador mestre pode gerenciar uma série de outros computadores, que são chamados de zumbis, isto é, outros computadores infectados com algum tipo de malware, fazendo parte de um botnet, na qual ajudará a intensificar o ataque permitindo que afete grandes servidores de grandes empresas, diferentemente do ataque DoS explicado anteriormente.


  • 02. [Luiz Cláudio] O que é Spoofing? O que é sniffer?
    • Ataque de sniffer corresponde ao roubo ou interceptação de dados capturando o tráfego de rede usando um sniffer (também conhecido como analisador de pacotes, é um programa de computador ou hardware o destinado a capturar pacotes de rede). Caso os pacotes de dados transmitidos pelas redes não forem criptografados, os dados contidos no pacote de rede poderão ser lidos usando um sniffer.
    • Ao utilizar um aplicativo sniffer, um invasor pode analisar a rede e obter informações para eventualmente causar o travamento ou a corrupção da rede ou ler as comunicações que estão trafegando na rede.
    • Spoofing (ou IP Spoofing) em segurança de rede envolve enganar um computador ou rede por meio de um endereço IP falsificado, redirecionando tráfego de internet no nível de DNS, ou falsificando dados ARP dentro de uma LAN. Dessa forma, o IP spoofing é um ataque que consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados.
    • Em suma, os ataques spoofing e sniffer tratam-se respectivamente, de um tipo de ataque de falsificação de IP, e o outro, uma forma de espionagem.


  • 03. [Luiz Cláudio] Por quê existem os Zumbis?
    • Os zumbis podem ser desenvolvidos para realizar tarefas ilegais ou mal-intencionadas, inclusive envio de spam, furto de dados, ransomware, anúncios com cliques fraudulentos ou ataques de negação de serviço distribuída (DDoS). No caso DDoS, os zumbis são utilizados como se fosse em uma guerra, quanto mais soldados (sendo estes os "zumbis"), mais forte será o ataque, portanto, eles servem para intensificar um ataque, causando mais estragos.


  • 04. [Matheus Faria] O que é um ACK?
    • O ACK (primeiras três letras da palavra em inglês acknowledgment, que significa reconhecimento) é uma flag do Three-Way Handshake, ou seja, uma flag de reconhecimento. Para entender melhor seu funcionamento, recomendo ler a resposta da pergunta sobre do Three-Way Handshake abaixo.


  • 05.[Luiz Cláudio] Cite algum elemento que pode impedir DDOS ou DOS?
    • Um elemento que pode impedir um ataque DDoS é o Firewall de Aplicativos Web (WAF), no qual, ao ser posicionado entre a internet e o servidor de origem, um WAF poderá atuar como um proxy reverso e proteger o servidor alvo de determinados tipos de tráfego malicioso. Ao filtrar as solicitações de acordo com uma série de regras usadas para identificar ferramentas de DDoS, os ataques podem ser impedidos. Sendo que um dos fatores de eficácia mais importantes de um WAF, é sua capacidade de implementar rapidamente regras personalizadas (diferentemente de outro processo não tão ideal de combater o ataque, o roteamento para um black hole) em resposta a um ataque.


  • 06. [Luiz Cláudio] O que é P2P? Cite alguma aplicação que usa essa tecnologia.
    • Rede *peer-to-peer* (p2p) é um sistema para compartilhamento de arquivos, documentos e informações sem a necessidade de um servidor central. A tradução de *peer-to-peer* é "ponto a ponto", ou seja, significa que os computadores dos usuários, que são os "pontos", conectam-se entre si formando uma rede descentralizada. Portanto, a conexão P2P integra computadores ponto a ponto, em pares, nos quais as transmissões são diretas, nas quais cada usuário realiza a função de cliente e servidor ao mesmo tempo.
    • Um exemplo de utilização de P2P seria o download de um torrent, no qual consiste em baixar vários fragmentos desse arquivo, vindos de diversos computadores interligados no mesmo link. Ou seja, quando o usuário baixa uma música ou um vídeo, por exemplo, diferentes pedaços são unidos no seu computador, capturados de outras máquinas que também estão fazendo o upload (seeders) ou download (leechers) dessa mídia.
    • Para que essa transmissão ocorra, é utilizado normalmente um gerenciador como o BitTorrent, que serve como um servidor de mediação entre os usuários chamado de tracker, ou rastreador, para encontrar os arquivos e fragmentos, mas que não armazena essas mídias.


  • 07. [Luiz Cláudio] O que é Three-Way Handshake? Dê um exemplo.
    • O Three-Way Handshake ou 3-Way Handshake (Handshake de três vias) é responsável pelo estabelecimento de conexões no TCP. Entretanto, antes de prosseguir com o Three-Way Handshake é necessário explicar o protocolo TCP.
    • O Protocolo de Controle de Transmissão (do inglês: Transmission Control Protocol, abreviado TCP) é um serviço de entrega de pacotes que garante a entrega e a integridade do pacote e funciona basicamente na conexão lógica entre dois computadores. Nesse tipo de comunicação, ambos os computadores entre em conformidade de como será feito o envio dos pacotes entre si. Quando uma informação é transmitida, mecanismos de verificação de integridade garantem que a informação seja recebida sem erros, se utilizado em transmissões onde nenhum tipo de erro é aceitável, como o http(web) e ftp. Entretanto, devido os vários mecanismos de verificação citados acima, isso o torna relativamente lento comparado ao protocolo UDP que possui mecanismos de verificação mais simples.
    • Dessa forma, para estabelecer uma conexão, o TCP usa um three-way handshake (acordo de três vias). Antes que o cliente tente se conectar com o servidor, o servidor deve primeiro ligar e escutar a sua própria porta, para só depois abri-la para conexões: isto é chamado de abertura passiva. Uma vez que a abertura passiva esteja estabelecida, um cliente pode iniciar uma abertura ativa. Para estabelecer uma conexão, o acordo de três vias (ou 3 etapas) é realizado:
    • SYN: A abertura ativa é realizada por meio do envio de um segmento (unidade de dados da camada de transporte) com uma flag SYN pelo cliente ao servidor. O cliente define o número de sequência de segmento como um valor aleatório A.
    • SYN+ACK: Em resposta, o servidor responde com um segmento SYN-ACK. O número de reconhecimento (ACKnowledgment) é definido como sendo um a mais que o número de sequência recebido, i.e. A+1, e o número de sequência que o servidor escolhe para o pacote é outro número aleatório B.
    • ACK: Finalmente, o cliente envia um ACK de volta ao servidor. O número de sequência é definido ao valor de reconhecimento recebido (A+1) e o número de reconhecimento é definido como um a mais que o número de sequência recebido, (B+1).
    • Exemplificação:
    • 1. Cliente: Servidor, estou enviando a mensagem com número de sequência 100 (SEQ=100). Dá pra sincronizar (SYN)?
    • Cliente --------SYN----> Servidor
    • 2. Servidor: Claro (ACK), sincroniza a mensagem 200 (SEQ=200) que estou enviando (SYN). Prossiga com a mensagem 101 (ACK=101).
    • Cliente <------------SYN---- Servidor
    • 3. Cliente: Ok, recebi a mensagem 200 (ACK=201), estou enviando a mensagem 101 (SEQ=101).
    • Cliente ------------> Servidor


  • 08. [Gabriel Cezar] Em um ataque de Bots, todos os bots "saem" do mesmo IP ?
    • Não, cada bot está em um computador diferente, sendo este afetado por algum tipo de malware para que possa ser utilizado como bot para ajudar e intensificar um ataque de Bots, dessa forma, assim como são computadores diferentes, os IPs serão diferentes, não "saindo" do mesmo IP.


  • 09. [Paulo Giovany] O que é um canal IRC?
    • Um canal IRC (sigla para "Internet Relay Chat") uma rede de servidores que hospedam canais de bate-papo em texto, ou seja, as salas onde as conversas acontecem. Para se conectar a esta rede, é necessário um cliente. O mIRC é um exemplo de cliente, o mais famoso de todos.
    • Este protocolo é baseado em um estrutura de linha pela qual o cliente envia mensagens ao servidor. Quase todos os clientes IRC permitem o uso de comandos, alguns interpretados pelo cliente, outros passados diretamente para o servidor.
    • No contexto de segurança, mais especificamente de botnet, um canal IRC pode ser utilizado como um centro de comando e controle (CnC), no qual o bot irá se conectar ao recurso para receber instruções, controlados e definidos pelo invasor que o utilizará


  • 10. [Luiz Cáudio] Cite algum exemplo recente de ataque Ransomware que tenha tido pagamento.
    • A empresa Colonial Pipeline (maior oleoduto dos EUA) sofreu um ataque de Ransomware no dia 06/05/2021 feito pelo grupo de hackers denominado "DarkSide". O grupo desconectou completamente a rede da empresa e roubou mais de 100GB de dados de informações do oleoduto. Foi cobrado o valor de 5 milhões para resgate dos dados e da rede.




  • 12. [Luiz Cáudio] Cite algum exemplo recente de ataque Worm que tenha tido sérias consequências.
    • "Grande processadora de carnes, a empresa brasileira JBS foi vítima de um ataque cibernético que a obrigou a fechar todos os seus itens de manufatura em todo o mundo. Isso inclui os EUA, Austrália, Nova Zelândia, Argentina, México, Porto Rico, Brasil, França, Reino Unido e Holanda.



  • 13.[Gabriel Cezar] Como funciona o Trojan e em qual tipo ele se enquadra ?
    • O trojan é disfarçado de um programa confiável, legítimo e útil, porém, carrega dentro de si o código malicioso. O programador cria uma réplica de um programa qualquer, inclui dentro dele o código que será executado no computador da vítima (como por exemplo um código para fazer download de arquivos da internet) e distribui o programa pela internet. Quando o usuário baixa o programa e executa, o Trojan começa a ser executado em background enquanto a aplicação de disfarce faz suas funções normais. No caso do Trojan que faz downloads, ele começará a baixar, de forma oculta, outros arquivos e programas maliciosos de acordo com o que ele foi programado para baixar. Ele também pode instalar esses programas e iniciar sua execução.
    • O Trojan é uma categoria de malware e contém subtipos, como por exemplo keyloggers e backdoors.


  • 14. [Flávio Peçanha] Este tipo de Malware "Worm", seu modo de replicar pode acontecer mais em sistemas interligados em Rede?
    • Sim. Ele pode infectar facilmente uma rede interna de uma empresa, de uma residência, mas também pode se espalhar de forma generalizada na internet.


  • 15. [Luiz Cláudio] Com a rápida expansão de IoT, tem um dispositivo que passou a ser uma forma fácil para invasores de computadores caseiros. Que dispositivo é esse?
    • Câmera de segurança (câmera IP)


  • 16. [Luiz Cláudio] Como acontece a contaminação num arquivo .exe?
    • O vírus faz a leitura do código de máquina do arquivo executável, procura os espaços "vazios" que estão entre o código e insere seu código malicioso nesses espaços. O código inserido geralmente está em hexadecimal e não afeta o tamanho final do arquivo. Ao executar o programa, o código malicioso também será executado.
    • Vídeo explicativo: https://www.youtube.com/watch?v=xkZBTDSzFw4


  • 17. [Luiz Cláudio] O que é Engenharia Social e como pode ser usada para o bem?
    • Engenharia social é uma técnica usada na área de Segurança da informação e seu principal objetivo é explorar a falha humana para tornar isso uma vulnerabilidade de segurança, tais como a confiança que você tem no seu chefe de trabalho ou como a sua confiança de que um site parece verdadeiro, mesmo que não seja. Várias empresas atualmente adotam práticas que ajudam a diminuir a falha humana e deixa a técnica de engenharia social mais ineficiente, um exemplo são as contratações de profissionais em red team (um termo utilizado para se referir a profissionais éticos em ciber-ataques) para invadir sua empresa e identificar falhas na engenharia social e assim conscientizar os funcionários de fazer boas práticas para que um ataque desse tipo seja evitado.


  • 18. [Luiz Cláudio] Cite um exemplo de Spear phishing recente.


  • 19. [Luiz Cláudio] Cite um exemplo de Clone phishing recente.


  • 20. [Luiz Cláudio] Cite um exemplo de Clone phishing recente.


  • 21. [Luiz Cláudio] Cite um exemplo de ataque Whalling recente.


  • 22. [Luiz Cláudio] Dentre estes ataques, quais considera mais grave.
    • O spear phishing é o mais grave, pois ele tem uma taxa de sucesso muito grande. Ele ocorre quando um ataque de roubo de dados feito com engenharia social é específico para uma pessoa, no qual o atacante estuda a pessoa, o que ela faz, o que ela posta, onde trabalha, entre outros, e usa isso para elaborar um ataque eficaz em que a chance da pessoa acreditar que é real sao altas.


  • 23. [Otavio Malta] SMS também é considerados Phishing?
    • Sim, se é enviado um SMS se passando por sua operadora e pedindo dados, e a mensagem passa confiança de que é real pra explorar uma falha humana para ter êxito, é um ataque de phishing.


Disponível em “http://3.143.69.156/wiki/index.php?title=Segurança-2021-1&oldid=82678