Thursday, March 30, 2017
tcp-sequence-number-attacks
Cada ponto final de uma conexão TCP estabelece um número de seqüência inicial para pacotes enviados e envia esse número no pacote SYN que está como parte do estabelecimento de conexão.
Não existe qualquer requisito para que qualquer uma das extremidades siga um procedimento particular na escolha do número de sequência de partida. O sistema operacional é livre para usar qualquer mecanismo que ele gosta, mas geralmente é melhor se ele escolhe um número aleatório.
A partir desse ponto de partida, cada pacote enviado por qualquer extremidade contém dois números de seqüência - um para especificar onde no fluxo o pacote está, e um número de seqüência ACK que significa o número de bytes recebidos. Ambos os números são deslocados pelo número de sequência inicial.
Um ataque de predição de seqüência TCP é uma tentativa de prever o número de seqüência usado para identificar os pacotes em uma conexão TCP e pode ser usado para falsificar pacotes.
O atacante espera adivinhar corretamente o número de seqüência a ser usado pelo host que enviou. Se eles puderem fazer isso, eles serão capazes de enviar pacotes falsificados para o host receptor que parecerá originar do host de envio, mesmo que os pacotes falsificados possam, de fato, originar de algum terceiro host controlado pelo atacante.
Ao monitorar o tráfego antes que um ataque seja montado, o host mal-intencionado pode descobrir o número de seqüência correto. Depois que o endereço IP e o número de seqüência correto são conhecidos, é basicamente uma corrida entre o invasor e o host confiável para obter o pacote correto enviado. Uma maneira comum para o atacante enviá-lo primeiro é lançar outro ataque no host confiável, como um ataque de DoS. Uma vez que o atacante tem controle sobre a conexão, ele é capaz de enviar pacotes falsificados sem obter uma resposta.
Teoricamente, outras informações, como diferenças de tempo ou informações de camadas de protocolo mais baixas, poderiam permitir que o host receptor distingisse pacotes TCP autênticos do host de envio e pacotes de contrafacção TCP com o número de seqüência correto enviado pelo invasor. Se essas outras informações estiverem disponíveis para o host receptor, se o invasor não puder também falsificar aquelas outras informações e se o host receptor recolher e usar as informações corretamente, então o host receptor pode ser bastante imune aos ataques de predição de seqüência TCP. Normalmente, este não é o caso, então o número de seqüência TCP é o principal meio de proteção do tráfego TCP contra esses tipos de ataque.
Outra solução para este tipo de ataque é configurar qualquer roteador ou firewall para não permitir que os pacotes entrem de uma fonte externa, mas com um endereço IP interno. Embora isso não corrija o ataque, ele evitará que os ataques potenciais cheguem aos seus alvos.
Netsparker
https://www.netsparker.com/web-vulnerability-scanner/
O Netsparker é um scanner de segurança para aplicações web, com suporte para detecção e exploração de vulnerabilidades. Ele pretende demonstrar apenas falsos positivos apenas relatar vulnerabilidades confirmadas depois de explorar com êxito ou testá-los de outra forma, mas há excessões que podemos perceber a regra.
O Netsparker é um scanner de segurança para aplicações web, com suporte para detecção e exploração de vulnerabilidades. Ele pretende demonstrar apenas falsos positivos apenas relatar vulnerabilidades confirmadas depois de explorar com êxito ou testá-los de outra forma, mas há excessões que podemos perceber a regra.
Reveal information - Phrases
As my Administration previously informed Congress, I will interpret those sections consistent with my authority to direct the heads of executive departments to supervise, control and correct employees’ communications with the Congress in cases where such communications would be unlawful or would reveal information that is properly privileged or otherwise confidential.
—President Barack Obama, signing statement on National Defense Authorization Act of 2013, January 3, 2013
The prime reason for secrecy is that you don’t want the targets to know what you are doing. But often in democracies, another reason is that you don’t want your citizens to know what their government is
doing on their behalf to keep them secure, as long as it’s within their country’s law.
—Walter Pincus, in the Washington Post, December 25, 2013
It’s self-evident. If the president of the United States calls a review of everything to do with intelligence, and that information only came into the public domain through newspapers, then it is self-evident, is it not, that newspapers had done something which oversight failed to do.
—Alan Rusbridger, statement to Parliament, December 5, 2013
—President Barack Obama, signing statement on National Defense Authorization Act of 2013, January 3, 2013
The prime reason for secrecy is that you don’t want the targets to know what you are doing. But often in democracies, another reason is that you don’t want your citizens to know what their government is
doing on their behalf to keep them secure, as long as it’s within their country’s law.
—Walter Pincus, in the Washington Post, December 25, 2013
It’s self-evident. If the president of the United States calls a review of everything to do with intelligence, and that information only came into the public domain through newspapers, then it is self-evident, is it not, that newspapers had done something which oversight failed to do.
—Alan Rusbridger, statement to Parliament, December 5, 2013
vaults are the data a bank has stored on its servers
MORE treasured than the bullion in its vaults are the data a bank has stored on its servers. Bankers know what their customers eat, where they shop and, increasingly, what they get up to online. It is possible for customers to share these data with others, but the process is cumbersome. In effect, banks enjoy a monopoly over data that has helped them get away with lousy service and fend off newcomers with better ideas. In Europe, at least, that is all about to change.
The source of this upheaval is a new set of regulations, snappily named the Second Payment Service Directive, or “PSD2”. The rules, which are being finalised and will be in force from January next year, will compel banks to share data easily with licensed third parties (if that is what their account-holders want). Bankers in Europe squeal that their profits and customer relationships are under threat. Fearing they could be next, America’s bankers are already lobbying their regulators to keep their data monopoly intact. Such reactions are predictable and wrong.
Because that’s where the data are
Opening up banks, and the data they hoard, is good for consumers and competition. New providers will be better placed to offer all sorts of innovative services. Apps might ping users when they are spending too much on booze or shoes, or offer them a one-click option to put unspent monthly income into a pension plan. Analytical tools might swiftly aggregate a person’s financial data in one place, or combine banking data with other information to offer individuals the best mortgage or loan. The new rules, which also compel banks to share payment infrastructure with licensed third parties, should make online shopping simpler and cheaper, too. Some concerns about PSD2 are legitimate. In particular, it is reasonable to wonder about the privacy and security implications of sensitive financial data being shared with third parties. But banks themselves are hardly invulnerable to cyber attack. And the way that European regulators propose to deal with these worries looks promising. Third parties that want to use bank data will need to convince national regulators that their data defenses are solid and must submit to annual inspections. Newbies must also take out fraud insurance; their insurers will have a clear reason to demand state-of-the-art cyber-security. Many online payments will become more secure than they are today, because of the directive’s requirements for the use of a robust authentication process involving two-step verification. The gap between writing rules and implementing them is always large, so a few things are needed to make PSD2 a success. First, consent from customers to provide access to their bank data must be gained explicitly, not buried in pages of gobbledygook. The purposes for which data might be used should be clearly explained, and individuals’ consent to share their personal information should be easily revocable. Second, regulators must be ruthless both in ensuring that banks open up their infrastructure to others and in withdraw-in the licenses of third parties that break the rules, particularly on cyber-security. Third, they must also be flexible enough to allow for change as the market evolves. Since the new entrants will not be licensed to engage in riskier forms of finance—such as lending money—it makes sense to regulate them with a lighter touch. But if some fintech providers do end up becoming systemically important (by, for instance, controlling a dominant digital wallet), higher standards of oversight might be necessary. More important now, however, is that regulators hold their nerve in response to bank lobbying. Opening up bank data gives fintech firms the opportunity to build new businesses and incumbent banks the incentive to improve their services. In both cases, the winner will be the consumer.
Moscow - U.S. charges Yahoo hackers
U.S. charges Yahoo hackers: The U.S. Justice Department has charged two members of Russia’s FSB intelligence agency with orchestrating the hacking of 500 million Yahoo user accounts in 2014, in the first U.S. cybercrime charges against Russian officials. Two hackers hired by the Russians were also charged. The agents, Dmitry Dokuchaev and Igor Sushchin, work for the FSB’s cyber investigation arm, and apparently wanted the accounts of Russian journalists and dissidents and U.S. government officials for intelligence purposes. They let the hackers use the rest of the information for financial gain, through spamming and other scams. The charges “show that we have the resources and capabilities to identify the people at the keyboard, even in the most sophisticated cases,” said Luke Dembosky, a former U.S. Justice official.
Mad rush is the world running out of time to contain North Korea
BY BILL POWELL
One option Trump is considering: expand on the Obama administration’s efforts to disrupt North Korean missile tests using cyberwarfare. A March 4 report in The New York Times says Obama’s Pentagon ramped up such activity aggressively starting in 2014—and had some success in disrupting missile tests. Skeptics of the program, however, say cyber alone probably isn’t enough to derail Pyongyang’s program. They note that by the end of February there had been three successful launches in the last eight months. And on March 6, North Korea tested four intermediate-range missiles—a show of force apparently timed to coincide with long-planned U.S.–South Korean military exercises, which had just begun. Former officials who’ve worked on North Korea policy almost uniformly agree with a former member of Obama’s Defense Department, who says, “There are options when dealing with North Korea, just not really good ones.” In the wake of the VX attack on Kim Jong Nam, it’s almost certain the U.S. will place North Korea back on the State Department’s State Sponsors of Terrorism list. (The Bush administration had taken it off in hopes of cutting a nuclear deal in 2008.) But as Bruce Klingner, a former North Korea analyst at the CIA who’s now at the Heritage Foundation, says, that’s mainly part of a “political, naming and shaming policy.’’ It is unclear that Kim would care. Trump is also considering ways to help U.S. allies in the region bolster their ability to assist the U.S. in interdicting illicit shipments to Pyongyang. As a Council of Foreign Relations report last fall said, North Korea’s skill in evading sanctions and moving forward with its missile program in the face of existing sanctions and interdiction eff orts worries the U.S. and its allies in the region. It’s urgent to figure out ways to make interdiction eff orts in the region more effective, says one Trump adviser, in order to slow down North Korea’s progress.
It’s also almost certain the U.S. will seek to ratchet up international sanctions. Analysts say a likely target is so-called secondary sanctions on the array of Chinese front companies that Pyongyang uses to launder money and import illicit goods for its missile program. But here, as always, the going is likely to get rough. Would the Chinese, Kim’s patron, enforce tightened sanctions that target Chinese companies doing business with North Korean companies? Some note that in the wake of the Kim Jong Nam assassination, Beijing announced a cessation of coal imports from North Korea—a key economic lifeline for the Kim regime. But as usual with Beijing’s policy toward North Korea, it’s not clear how long the coal ban will be in place or what the effects will be. Pyongyang exported a record amount of coal to China in 2016 and doesn’t necessarily need to export more in the near term. Beijing has a coal glut. Whether the ban continues beyond the first quarter will be the true measure of Beijing’s seriousness here.
Cautious optimists say Beijing could go along with the sanctions on Chinese companies doing business on the border with North Korea because not many of them are important, and state-owned, companies. China’s former foreign minister, Yang Jiechi, was recently in Washington pushing for a summit between
Trump and China’s president, Xi Jinping. And while some in Trump’s orbit are skeptical of the early-summit idea, the sense of crisis regarding North Korea makes it more likely that such a meeting will take place.
netstat - portas e tabelas do router
netstat - ano
para saber quais portas estão sendo estabelecidas
netstat -r
Mostrar as tabelas do router
Wednesday, March 29, 2017
Tuesday, March 28, 2017
Por que as grandes empresas fracassam na cibersegurança: um questionário com Troy Hunt
As violações de dados estão se tornando mais frequentes e onerosas para as organizações, e a fraca segurança cibernética juntamente com os profissionais não qualificados são muitas vezes o resultado de um processo mal gerenciado. Então, o que as empresas podem fazer para corrigir o problema?
Parece que toda semana há notícias de outra violação/vazamentos de dados. Quer se trate de uma instituição financeira, agência governamental ou uma corporação internacional, as violações de dados são freqüentes e generalizada. Somente em 2016, o custo total médio consolidado de uma violação de dados cresceu de US $ 3,8 milhões para US $ 4 milhões, de acordo com o Estudo de Custo de Dados de Violação de Ponemon de 2016.
Biografia do entrevistador
Troy Hunt é um especialista em violação de dados e práticas de segurança. Ele é Diretor Regional da Microsoft, Microsoft MVP (Most Valuable Professional) para Desenvolvedor Security e palestrante internacional em segurança na Web. Ele também dirige o site Have I been pwned? Um serviço gratuito que agrega falhas de dados e ajuda as pessoas a descobrir se sua conta foi comprometida em uma violação.
Troy revela suas idéias sobre as causas das violações de dados e como as empresas podem melhorar sua segurança cibernética.
Quais são os tipos mais comuns de violação de dados que você vê?
O ataque mais comum ainda é uma injeção de linguagem de consulta estruturada (SQL). Injeções SQL é uma característica muito forte em violações de sistemas, porque quando há uma vulnerabilidade de injeção de SQL, ele fornece ao atacante um acesso a todo o banco de dados.
Quais indústrias e empresas são mais susceptíveis a violações de dados?
Todos eles. As pessoas gostam de refinar os dados, mas a realidade é que qualquer empresa que está conectada está em risco. Assim que você colocar algo novo on-line, assim que você configurar um novo site, assim que você conecte uma nova webcam externa, ele fica sistematizada por processos automatizados. Em termos de suscetibilidade, se você estiver on-line, você é um alvo.
Quais são as melhores maneiras de as empresas evitarem ataques cibernéticos?
Há uma série de maneiras diferentes de olhar para ele. Eu acho que a coisa mais fundamental que faz uma grande diferença para a segurança é a formação de profissionais de tecnologia.
Se você é um negócio e você tem pessoas trabalhando para você que estão construindo esses sistemas, certificando-se de que eles estão devidamente treinados e equipados é realmente importante. Violações de dados são muitas vezes relacionadas com o fato de que as pessoas construíram algo com erros.
Um exemplo perfeito é um laboratório indiano de patologia que tinha 43.000 relatórios de patologia sobre indivíduos vazados publicamente. A pessoa que construiu o sistema de segurança do laboratório estava totalmente desprovida de equipamento. Vemos isso o tempo todo com injeção SQL também. Toda vez que vemos a injeção de SQL explorada, muitas vezes com grandes empresas internacionais, é porque alguém se enganou em relação ao código.
Por que é comum que as grandes empresas tenham esses tipos de erros?
Há uma série de fatores. Um deles é que as empresas estão sempre muito conscientes dos custos, por isso eles estão sempre tentando fazer as coisas em um orçamento em termos de custo de desenvolvimento.
O que isso geralmente significa é que eles estão recebendo pessoas sub-qualificadas. Realmente não custa nada mais para construir código que é resiliente para injeção SQL. Os desenvolvedores de construção tem que saber como ele funciona. Por exemplo, se você está offshoring para as taxas mais baratas possíveis em outro país, você provavelmente vai começar pessoas inexperientes de proeza de segurança muito mínima.
Eu acho que parte disso também é não há suficiente reconhecimento de que este é um risco sério. As empresas geralmente não tendem a levá-lo a sério até depois de terem tido um incidente ruim. Você não pode perder isso. É toda a notícia todos os dias sobre diferentes incidentes de segurança, mas até que ele realmente acontece com uma organização, o centavo apenas não parece cair.
Quanto a higiene cibernética dos usuários finais tem a ver com questões de segurança?
Tem muito a ver com muitas das questões. Não tem nada a ver com injeção de SQL porque isso é a ver com a maneira como o sistema é construído. No entanto, tem muito a ver com coisas como ataques de phishing. Estamos falando quando o indivíduo está abrindo correio suspeito. Eles estão sendo vítimas de um e-mail bem elaborado que está pedindo-lhes para inserir suas credenciais.
Em termos de higiene cibernética pessoal, vemos um monte de credenciais-stuffing ataques onde o sistema está comprometido, nomes de usuário e senhas são tomadas, e os atacantes vão usar os mesmos nomes de usuário e senhas em outras contas porque as pessoas têm reutilizado suas senhas. Essa é provavelmente a única coisa maior que precisamos corrigir a partir de uma perspectiva de consumidor - boas práticas de senha. No final do dia, ainda temos um monte de problemas digitais para resolver.
https://careersincybersecurity.com/big-businesses-fail-cybersecurity-qa-troy-hunt/
Promover a transparência na supervisão dos riscos da segurança cibernética em empresas
O projeto de lei define uma ameaça de segurança cibernética como qualquer ação não protegida pela Primeira Emenda que "pode resultar em um esforço não autorizado para impactar negativamente a segurança, a disponibilidade, a confidencialidade ou a integridade de um sistema de informação ou informações armazenadas, Processado por, ou transitando um sistema de informação ... "
O projeto de lei, em seguida, propõe apenas três requisitos sob a égide da Comissão de Valores Mobiliários (SEC): que os relatórios anuais à SEC deve divulgar o nível de conhecimentos de segurança cibernética do conselho; Ou, caso não exista, quais "outras medidas de segurança cibernética tomadas pela empresa relatora foram levadas em conta"; E que a definição do que constitui essa especialização deve vir da SEC em consulta com o NIST.
https://www.congress.gov/115/bills/s536/BILLS-115s536is.pdf
Em conjunto, esses dois exemplos de novas regulamentações sugerem que as autoridades reguladoras não estão mais satisfeitas em formular recomendações sobre a responsabilidade de segurança no nível de diretoria, mas estão agora prontas para exigir legalmente.
A implicação é que já não é suficiente que as organizações devem ter conselhos de segurança no conselho, ele vai se tornar cada vez mais uma exigência legal.
Sunday, March 26, 2017
Colasoft Ping Tool
Colasoft Ping Tool suporta vários pings IP simultaneamente e lista os tempos de resposta comparativa em um gráfico, o que torna uma excelente ferramentas de ping. Os usuários podem além de exibir os gráficos históricos, salvando-os em arquivos * .bmp, mas também pingando os endereços IP dos pacotes capturados no analisador de rede (por exemplo, Colasoft Capsa Network Analyzer), incluindo os endereços IP de recurso e de destino.
http://www.colasoft.com/ping_tool/
Friday, March 24, 2017
Thursday, March 23, 2017
Banner Grabbing/OUI
Banners are messages that are configured on some devices (routers, switches, servers) and appear under certain conditions, such as when someone is presented with a login screen or upon making a connection or when an error is encountered. These messages can impart information that can be used during the discovery phase of the hacking process. It may reveal the operating system or the version of firmware.
Banner grabbing is the process of connecting to the device using protocols such as Telnet, SMTP or HTTP and then generating an error displaying the banner. Once the hacker discovers this information, they can research weaknesses in the system. For this reason, any service not in use should be disabled to eliminate it as a source of connection.
Domain/Local Group Configurations
In cases where computers are part of a domain, the domain member computers will have both domain accounts and local accounts. Local accounts are thus only effective on the local machine and cannot be used to access the domain.
However, there are default local accounts that exist on these computers that can be used to log on locally to the computer, thereby circumventing the domain login process. It’s dangerous to leave some of these enabled, such as the local administrator account. While they cannot be deleted, it is possible to rename them and/or disable them.
Jamming
Jamming is the process of sending out radio waves on the frequency used by a wireless network. It will have the effect of disassociating (disconnecting) all of the stations from the AP, at least while the jam signal is still there. When used for that purpose, jamming could be considered a DoS attack.
However, it is usually part of an evil twin attack, when the hacker is attempting to get your wireless stations to connect to their access point. They will set their AP to the same SSID as your wireless network but on a different channel (frequency). When they jam the real frequency, it causes the stations to seek another frequency with the same SSID, and they will find the hacker’s AP all too willing to allow their association.
Telnet is an application you can use to conduct banner grabbing. If Telnet is operational on the target system, even though port 23 may be closed, it is possible to learn what type of server is being used to host by using port 80 if you are probing a web server.
The thought process behind this is a lot like banner grabbing or any of a hundred different forced error situations in hacking: lots of information can be gleaned from responses to an error situation. A bogus internal address has the potential to provide more information about the internal servers used in the organization, including IP addresses and other pertinent details. Attempt banner grabbing.
Of the options presented, banner grabbing is probably your best bet. In fact, it’s a good start for
operating system fingerprinting. You can telnet to any of these active ports or run a nmap banner grab.
Either way, the returning banner may help in identifying the OS.
Which of the following methods correctly performs banner grabbing with Telnet on a Windows system?
A. telnet <IPAddress> 80
B. telnet 80 <IPAddress>
C. telnet <IPAddress> 80 -u
D. telnet 80 <IPAddress> -u
A. Telnetting to port 80 will generally pull a banner from a web server. You can telnet to any port you want to check, for that matter, and ideally pull a port; however, port 80 just seems to be the one used on the exam the most. B, C, and D are incorrect. These are all bad syntax for Telnet.
Tuesday, March 21, 2017
Powershell commands and features
Kenneth Tran, Ambassador at Microsoft
Written 24 Jul 2013
Which ssh client am I using?
$Dir> which ssh
C:\cygwin\bin\ssh.exe
I can change the name of tabs. How?
$Dir> which TabName
param($name)
$psise.CurrentPowerShellTab.DisplayName = $name
Use Profile.ps1 for both PowerShell and PowerShell ISE
$Dir> which $profile
C:\Users\$user\Documents\WindowsPowerShell\Profile.ps1
(If you come from the Linux world, $Profile is similar to your bash/csh/.. profile in Linux.)
What is which?
$Dir> which which
(Get-Command $args -errorAction SilentlyContinue).Definition
1: Get-Help
The first PowerShell cmdlet every administrator should learn is Get-Help. You can use this command to get help with any other command. For example, if you want to know how the Get-Process command works, you can type:
Get-Help -Name Get-Process
and Windows will display the full command syntax.
You can also use Get-Help with individual nouns and verbs. For example, to find out all the commands you can use with the Get verb, type:
Get-Help -Name Get-*
2: Set-ExecutionPolicy
Although you can create and execute PowerShell scripts, Microsoft has disabled scripting by default in an effort to prevent malicious code from executing in a PowerShell environment. You can use the Set-ExecutionPolicy command to control the level of security surrounding PowerShell scripts. Four levels of security are available to you:
- Restricted — Restricted is the default execution policy and locks PowerShell down so that commands can be entered only interactively. PowerShell scripts are not allowed to run.
- All Signed — If the execution policy is set to All Signed then scripts will be allowed to run, but only if they are signed by a trusted publisher.
- Remote Signed — If the execution policy is set to Remote Signed, any PowerShell scripts that have been locally created will be allowed to run. Scripts created remotely are allowed to run only if they are signed by a trusted publisher.
- Unrestricted — As the name implies, Unrestricted removes all restrictions from the execution policy.
You can set an execution policy by entering the Set-ExecutionPolicy command followed by the name of the policy. For example, if you wanted to allow scripts to run in an unrestricted manner you could type:
Set-ExecutionPolicy Unrestricted
3: Get-ExecutionPolicy
If you're working on an unfamiliar server, you'll need to know what execution policy is in use before you attempt to run a script. You can find out by using the Get-ExecutionPolicy command.
4: Get-Service
The Get-Service command provides a list of all of the services that are installed on the system. If you are interested in a specific service you can append the -Name switch and the name of the service (wildcards are permitted) When you do, Windows will show you the service's state.
5: ConvertTo-HTML
PowerShell can provide a wealth of information about the system, but sometimes you need to do more than just view the information onscreen. Sometimes, it's helpful to create a report you can send to someone. One way of accomplishing this is by using the ConvertTo-HTML command.
To use this command, simply pipe the output from another command into the ConvertTo-HTML command. You will have to use the -Property switch to control which output properties are included in the HTML file and you will have to provide a filename.
To see how this command might be used, think back to the previous section, where we typed Get-Service to create a list of every service that's installed on the system. Now imagine that you want to create an HTML report that lists the name of each service along with its status (regardless of whether the service is running). To do so, you could use the following command:
Get-Service | ConvertTo-HTML -Property Name, Status > C:\services.htm
6: Export-CSV
Just as you can create an HTML report based on PowerShell data, you can also export data from PowerShell into a CSV file that you can open using Microsoft Excel. The syntax is similar to that of converting a command's output to HTML. At a minimum, you must provide an output filename. For example, to export the list of system services to a CSV file, you could use the following command:
Get-Service | Export-CSV c:\service.csv
7: Select-Object
If you tried using the command above, you know that there were numerous properties included in the CSV file. It's often helpful to narrow things down by including only the properties you are really interested in. This is where the Select-Object command comes into play. The Select-Object command allows you to specify specific properties for inclusion. For example, to create a CSV file containing the name of each system service and its status, you could use the following command:
Get-Service | Select-Object Name, Status | Export-CSV c:\service.csv
8: Get-EventLog
You can actually use PowerShell to parse your computer's event logs. There are several parameters available, but you can try out the command by simply providing the -Log switch followed by the name of the log file. For example, to see the Application log, you could use the following command:
Get-EventLog -Log "Application"
Of course, you would rarely use this command in the real world. You're more likely to use other commands to filter the output and dump it to a CSV or an HTML file.
9: Get-Process
Just as you can use the Get-Service command to display a list of all of the system services, you can use the Get-Process command to display a list of all of the processes that are currently running on the system.
10: Stop-Process
Sometimes, a process will freeze up. When this happens, you can use the Get-Process command to get the name or the process ID for the process that has stopped responding. You can then terminate the process by using the Stop-Process command. You can terminate a process based on its name or on its process ID. For example, you could terminate Notepad by using one of the following commands:
Stop-Process -Name notepad Stop-Process -ID 2668
Keep in mind that the process ID may change from session to session.
About Brien Posey
Brien Posey is a seven-time Microsoft MVP. He has written thousands of articles and written or contributed to dozens of books on a variety of IT subjects.
Monday, March 20, 2017
As redes sociais são minas de ouro para cyber criminosos
21 de abril de 2010 às 11:04
Artigo de ZDNet:
"A Symantec lançou seu mais recente relatório sobre o Internet Security Threat Report volume XV. Aqui estão algumas de suas descobertas:
- Dado o potencial de ganho monetário ao comprometer a propriedade intelectual corporativa, os cibercriminosos voltaram sua atenção para as empresas. O relatório descobriu que os atacantes estão alavancando a abundância de informações pessoais abertamente disponíveis em sites de redes sociais para sintetizar socialmente engenharia ataques sobre indivíduos-chave dentro de empresas-alvo.
- Os kits de ferramentas de ataque à cibercriminalidade reduziram a barreira à entrada de novos cibercriminosos, tornando mais fácil para os atacantes não qualificados comprometer computadores e roubar informações. Um tal toolkit chamado Zeot (Zbot), que pode ser comprado para tão pouco quanto $ 700, automatiza o processo de criação de malware personalizado capaz de roubar informações pessoais. Usando kits como o Zeus, os atacantes criaram literalmente milhões de novas variantes de código malicioso em um esforço para evitar a detecção por software de segurança.
- 2009 viu o crescimento dramático no número de ataques baseados na Web direcionados a usuarios de PDF; Isso representou 49% dos ataques observados na Web. Este é um aumento considerável em relação aos 11% reportados em 2008.
- Em 2009, a Symantec identificou mais de 240 milhões de novos programas maliciosos, um aumento de 100% em relação a 2008.
- 75 por cento das empresas inquiridas sofreram alguma forma de cyber-ataque em 2009.
- Estima-se que o Downadup estava em mais de 6,5 milhões de computadores em todo o mundo no final de 2009. Até agora, as máquinas ainda infectadas com o Downadup / Conficker não foram utilizadas para qualquer atividade criminosa significativa, mas a ameaça continua viável.
SEJA CONSCIENTE DO QUE VOCÊ ESTÁ EXPOSTANDO!
Superdata
Social networks are GOLDMINE for cybercriminals
April 21, 2010 at 11:04am
Article from ZDNet:
“Symantec released its latest Internet Security Threat Report volume XV. Here are some of its findings:
- Given the potential for monetary gain from compromised corporate intellectual property (IP), cybercriminals have turned their attention toward enterprises. The report found that attackers are leveraging the abundance of personal information openly available on social networking sites to synthesize socially engineered attacks on key individuals within targeted companies.
- Cybercrime attack toolkits have lowered the bar to entry for new cybercriminals, making it easy for unskilled attackers to compromise computers and steal information. One such toolkit calledZeus (Zbot), which can be purchased for as little as $700, automates the process of creating customized malware capable of stealing personal information. Using kits like Zeus, attackers created literally millions of new malicious code variants in an effort to evade detection by security software.
- 2009 saw dramatic growth in the number of Web-based attacks targeted at PDF viewers; this accounted for 49 percent of observed Web-based attacks. This is a sizeable increase from the 11 percent reported in 2008.
- In 2009, Symantec identified more than 240 million distinct new malicious programs, a 100 percent increase over 2008.
- 75 percent of enterprises surveyed experienced some form of cyber-attack in 2009.
- It was estimated that Downadup was on more than 6.5 million PCs worldwide at the end of 2009. Thus far, machines still infected with Downadup/Conficker have not been utilized for any significant criminal activity, but the threat remains a viable one.”
BE AWARE OF WHAT YOU ARE EXPOSING! :-)
-SuperDale
Tuesday, March 14, 2017
Linguagens de programação para segurança cibernética
Assembly
Oh, a ruína da minha existência, Assembly. Este idioma é o mais próximo que você pode chegar a programação em linguagem de máquina, com que também é um dos melhores idiomas para saber quando se lida com a segurança cibernética. Se você está depurando um programa para encontrar vulnerabilidades no código, como estouro de buffer, ou você está engenharia reversa de um programa de malware, é extremamente benéfico para conhecer esse idioma. A linguagem assembly permite que você fale diretamente com a memória de um computador e forçá-lo a executar instruções que você pode não ser capaz de obtê-lo para executar utilizando outros idiomas.
Uma das outras razões que este idioma ainda é amplamente utilizado e / ou capaz de ser lido por especialistas em segurança até hoje é que mesmo "C" permite a montagem em linha. Ser capaz de empurrar e mover instruções que devem ser executadas pode ser extremamente útil quando se tenta forçar um programa a fazer algo diferente do que foi planejado. A fim de realmente entender o que você está fazendo quando a programação de montagem, você definitivamente precisa entender como processadores e memória ler e escrever instruções para e entre si.
C
A linguagem C é outra linguagem que existe há bastante tempo. Muitos programas ainda funcionam com base em C e muitas explorações também. A vantagem de C é que ele pode ser portado para praticamente qualquer sistema operacional apenas compilando para ser lido por qualquer sistema operacional que você precisa para ser executado em. Como C é uma linguagem de nível superior ao Assembly, também é mais fácil de ler. Onde assembly é escrito de tal maneira que você está interagindo diretamente com a memória, C é mais leitor amigável e é realmente compilado sem você se preocupar sobre como ele interage com a memória. Isso não quer dizer que você não precisa se preocupar com a codificação segura e evitar coisas como o buffer overflows.
Python
Algumas das linguagens de programação mais fáceis de aprender são as linguagens de script. Python é uma das linguagens de script mais populares e existem até muitas ferramentas de segurança escritas em python. Uma das ferramentas mais populares é o SEToolkit. Outros usaram python para criar sua própria variação de um scanner nmap, ou com diferentes módulos importados que podem ser usados para puxar para baixo todos os tweets em um twitter de pessoas. As declarações em python são muito bruscas e tornam muito mais fácil escrever. Declaração como "imprimir", "se" e "enquanto" fazer exatamente o que eles dizem, sem a necessidade de decifrar. Imprimir imprime o que você colocar em citações para a tela, se começa e if / else bloco de código, e enquanto começa naturalmente um loop de tempo. Há muito mais para ele, e sim, mesmo "C" tem declarações como estas, embora a forma como algumas dessas declarações têm de ser escritas são mais enroladas.
Outra vantagem para python é que você pode realmente usá-lo para escrever suas próprias explorações. Embora ao contrário de "C" o sistema de destino tem que realmente ter o interpretador python já instalado ou então não haverá nada para ler o código. Como tal, é benéfico para validar que um intérprete python já está instalado no sistema de destino que você está tentando explorar.
Pensamentos finais
Agora, de forma alguma é uma lista abrangente de línguas para aprender ou até mesmo o que todos podem fazer, mas é um ponto de partida. Por ser capaz de ler pelo menos a montagem e C você se torna um recurso inestimável para reverter engenheiros. Se você pode escrever em assembly e C você se torna essencial para explorar desenvolvedores, engenheiros reversos e testadores de penetração. Exploits escritos por você mesmo fornecem assinaturas diferentes que permitirão que você ignore muitos scanners anti-vírus que dependem de assinaturas já conhecidas. Se você pode trabalhar com python que você pode utilizar muitas das ferramentas incorporadas em distribuições de segurança, bem como se tornar um recurso valioso para testes de penetração de aplicativos web. Isso ocorre porque python também pode ser usado para automatizar SQLi e outros testes de aplicativos da web.
Postado por Derek Scheller Jr às 19:40
Monday, March 13, 2017
Subscribe to:
Posts (Atom)
-
Curso Wireshark na UDEMY https://www.udemy.com/curso-profissional-sobre-wireshark/learn/v4/overview A filtragem em sinalizadores...