Wednesday, November 29, 2017

SEH

Qual dos seguintes ataques de aplicativos é usado para obter acesso ao SEH?

Sequestro de sessao
 Estouro do buffer
Cruzamento de Diretorio
Injeção XML


A proteção de transbordamento de buffer é usada para detectar os transbordos de buffer mais comuns, verificando se a pilha não foi alterada quando uma função retorna. Se foi alterado, o programa sai com uma falha de segmentação. A implementação do modo de prevenção de execução de dados (DEP) da Microsoft protege explicitamente o manipulador de exceção estruturada (SEH) de ser substituído.


Um estouro de buffer ocorre quando um programa ou processo tenta armazenar mais dados em um buffer (área de armazenamento de dados temporários) do que se destinava a segurar. Uma vez que os buffers são criados para conter uma quantidade finita de dados, a informação extra - que tem que ir para algum lugar - pode transbordar em buffers adjacentes, corromper ou sobrescrever os dados válidos armazenados neles. Embora possa ocorrer acidentalmente através de um erro de programação, o estouro de buffer é um tipo cada vez mais comum de ataque de segurança na integridade dos dados. Em ataques de transbordamento de buffer, os dados adicionais podem conter códigos projetados para desencadear ações específicas, enviando de fato novas instruções para o computador atacado que, por exemplo, podem danificar os arquivos do usuário, trocar dados ou divulgar informações confidenciais. Espera-se que os ataques de estouro de buffer tenham surgido porque a linguagem de programação C forneceu a estrutura e as práticas de programação precárias forneceram a vulnerabilidade.

Respostas Incorretas:
Em ciência da computação, o seqüestro de sessão, às vezes também conhecido como seqüestro de cookies ou roubo de bolachas, é a exploração de uma sessão de computador válida - às vezes também chamada de chave de sessão - para obter acesso não autorizado a informações ou serviços em um sistema informático. Em particular, é usado para se referir ao roubo de um cookie mágico usado para autenticar um usuário em um servidor remoto. Tem especial relevância para os desenvolvedores da web, pois os cookies HTTP usados para manter uma sessão em muitos sites podem ser roubados facilmente por um invasor usando um computador intermediário ou com acesso aos cookies guardados no computador da vítima. Este tipo de ataque não é usado para obter acesso ao manipulador de excepção estruturada (SEH).
 O cruzamento de diretório é uma forma de exploração HTTP em que um hacker usa o software em um servidor da Web para acessar dados em um diretório diferente do diretório raiz do servidor. Se a tentativa for bem sucedida, o hacker pode ver arquivos restritos ou mesmo executar comandos no servidor. Embora algumas conjecturas educadas estejam envolvidas na busca de caminhos para arquivos restritos em um servidor da Web, um hacker qualificado pode facilmente realizar esse tipo de ataque em um servidor protegido de forma inadequada, pesquisando através da árvore de diretórios. O risco de tais ataques pode ser minimizado pela programação cuidadosa do servidor Web, a instalação de atualizações e patches de software, filtragem de entrada de navegadores e o uso de scanners de vulnerabilidade. Este tipo de ataque não é usado para obter acesso ao manipulador de excepção estruturada (SEH).
Quando um usuário da web tira proveito de uma fraqueza com o SQL, inserindo valores que não deveriam, é conhecido como um ataque de injeção SQL. Da mesma forma, quando o usuário introduz valores que consultam XML (conhecido como XPath) com valores que aproveitam as explorações, é conhecido como um ataque de injeção XML. O XPath funciona de forma semelhante ao SQL, exceto que ele não possui os mesmos níveis de controle de acesso, e tirar proveito dos pontos fracos dentro pode retornar documentos inteiros. A melhor maneira de evitar ataques de injeção XML é filtrar a entrada do usuário e desinfetá-lo para garantir que não cause XPath para retornar mais dados do que deveria. Este tipo de ataque não é usado para obter acesso ao manipulador de excepção estruturada (SEH).

Monday, November 27, 2017

Smurf Ataque

Um ataque de smurf é um tipo de violação de segurança da rede em que uma rede conectada à Internet está inundada com respostas aos pedidos de eco ICMP (PING). Um invasor smurf envia pedidos PING para um endereço de transmissão na Internet. Estes são endereços especiais que transmitem todas as mensagens recebidas para os hosts conectados à sub-rede. Cada endereço de transmissão pode suportar até 255 hosts, portanto, uma única solicitação PING pode ser multiplicada 255 vezes. O endereço de retorno do pedido em si é falsificado para ser o endereço da vítima do invasor. Todos os hosts que recebem a solicitação PING respondem ao endereço da vítima em vez do endereço do remetente real. Um único atacante que envia centenas ou milhares dessas mensagens PING por segundo pode preencher a linha T-1 (ou mesmo T-3) da vítima com respostas de ping, levar todo o serviço de Internet aos joelhos.
Smurfing cai sob a categoria geral de ataques de negação de serviço - ataques de segurança que não tentam roubar informações, mas sim tentar desabilitar um computador ou uma rede.

Respostas Incorretas:
B: Na criptografia e segurança do computador, um ataque do homem no meio (muitas vezes abreviado para MITM, MitM, MIM, MiM ou MITMA) é um ataque onde o atacante secretamente retransmite e possivelmente altera a comunicação entre duas partes que acreditam estão se comunicando diretamente uns com os outros. Um exemplo é a escuta ativa, em que o atacante faz conexões independentes com as vítimas e retransmite mensagens entre eles para fazê-los acreditar que estão falando diretamente entre si por uma conexão privada, quando de fato toda a conversa é controlada pelo atacante. O invasor deve poder interceptar todas as mensagens relevantes que passam entre as duas vítimas e injetar novas. Isto é
direto em muitas circunstâncias; por exemplo, um invasor dentro do alcance de recepção de um ponto de acesso sem fio Wi-Fi não criptografado, pode se inserir como um homem no meio. Este não é o ataque ilustrado nesta questão.
C: Um backdoor em um sistema de computador (ou criptosistema ou algoritmo) é um método de ignorar a autenticação normal, garantir o acesso remoto não autorizado a um computador, obter acesso ao texto simples, e assim por diante, enquanto tenta permanecer não detectado. O backdoor pode assumir a forma de um programa instalado (por exemplo, Back Orifice) ou pode subverter o sistema através de um rootkit. Este não é o ataque ilustrado nesta questão.
D: Um ataque de repetição (também conhecido como ataque de reprodução) é uma forma de ataque de rede em que uma transmissão de dados válida é repetida ou atrasada de maneira maliciosa ou fraudulentamente. Isso é realizado pelo criador ou por um adversário que intercepta os dados e o retransmite, possivelmente como parte de um ataque de mascarada por substituição de pacotes IP (como ataque de cifra de fluxo). Por exemplo: suponha que Alice quer provar sua identidade para Bob. Bob solicita sua senha como prova de identidade, que Alice oferece obedientemente (possivelmente após alguma transformação como uma função de hash); Enquanto isso, Eve está espiando a conversa e mantém a senha (ou o hash). Depois que o intercâmbio terminar, Eve (posando como Alice) se conecta com Bob; quando perguntado por uma prova de identidade, Eve envia a senha de Alice (ou hash) lida na última sessão, o que Bob aceita, dando assim acesso a Eve. Este não é o ataque ilustrado nesta questão.
E: Spear phishing é uma tentativa de fraude de falsificação de e-mail que visa uma organização específica, buscando acesso não autorizado a dados confidenciais. Tal como acontece com as mensagens de e-mail usadas em expedições regulares de phishing, as mensagens de phishing de lança parecem vir de uma fonte confiável. As mensagens de phishing geralmente parecem vir de uma grande e conhecida empresa ou site com uma ampla base de membros, como eBay ou PayPal. No caso do phishing de lança, no entanto, a fonte aparente do e-mail é provável que seja um indivíduo dentro da própria empresa do destinatário e geralmente alguém em uma posição de autoridade. Este não é o ataque ilustrado nesta questão.
F: Na tecnologia da informação, um pacote de árvore de Natal é um pacote com cada opção definida para qualquer protocolo em uso. O termo deriva de uma imagem fantasiosa de cada pequeno bit de opção em um cabeçalho representado por uma lâmpada de cor diferente, tudo ligado, como "o pacote estava iluminado como uma árvore de Natal". Também pode ser conhecido como um pacote de kamikaze, um nastygram ou um segmento de teste de lâmpada.
Os pacotes de árvores de Natal podem ser usados ​​como um método de adivinhar a natureza subjacente de uma pilha de TCP / IP enviando os pacotes e aguardando e analisando as respostas. Quando usado como parte da digitalização de um sistema, o cabeçalho TCP de um pacote de árvore de Natal tem os sinalizadores SYN, FIN, URG e PSH set. Muitos sistemas operacionais implementam sua conformidade com o padrão do Protocolo de Internet (RFC 791) de maneiras variadas ou incompletas. Ao observar como um host responde a um pacote estranho, como um pacote de árvore de Natal, podem ser feitas premissas sobre o sistema operacional do host. Versões do Microsoft Windows, BSD / OS, HP-UX, Cisco IOS,

Sunday, November 26, 2017

Quais são as quatro etapas necessárias para configurar uma VLAN de voz em uma porta de switch? (Escolha quatro).


Atribua a VLAN de voz à porta do switch.

Adicione uma VLAN de voz.

Configure a porta do switch no modo de acesso.

Certifique-se de que o tráfego de voz é  marcado com um valor de prioridade CoS.

Para adicionar um telefone IP, os seguintes comandos devem ser adicionados à porta do switch:

SW3 (config-vlan) # vlan 150
SW3 (config-vlan) # nome voz
SW3 (config-vlan) # int fa0/20
SW3 (config-if) # switchport mode access
SW3 (config-if) # mls qos trust cos
SW3 (config-if) # switchport access vlan 150

certificados de computador

Os funcionários da empresa são obrigados a ter certificados do cliente da estação de trabalho para acessar o site do banco. Esses certificados foram guardados como um passo de precaução antes da nova atualização do computador. Após a atualização e restauração, os usuários afirmam que podem acessar o site do banco, mas não logar. Qual dos seguintes é provavelmente o problema?

 Os endereços IP dos clientes têm mudança
 As senhas do certificado do cliente expiraram no servidor
 Os certificados não foram instalados nas estações de trabalho --- X
 Os certificados foram instalados na CA


Os certificados de computador devem ser instalados nos computadores clientes atualizados.

Respostas Incorretas:  Alterar o endereço IP de um cliente não afetaria o certificado.  Não é provável que os certificados tenham expirado no momento em que os clientes foram atualizados. Não é provável que os certificados do cliente tenham sido instalados na CA no momento em que os clientes foram atualizados.

Uma autoridade de certificação toma quais das seguintes ações na PKI?



Assine e verifica todas as mensagens de infra-estrutura
Emite e assina todas as chaves privadas
Publica listas de bloqueio de chaves para CRLs
Emite e assina todos os certificados raiz


Uma autoridade de certificação pode emitir vários certificados na forma de uma estrutura em árvore. Um certificado raiz é parte de um esquema de infra-estrutura de chave pública (PKI). A variedade comercial mais comum é baseada no padrão ITU-T X.509, que geralmente inclui uma assinatura digital de uma autoridade de certificação (CA). Na criptografia e segurança do computador, um certificado raiz é um certificado de chave pública não assinada (também chamado de certificado auto-assinado) que identifica a autoridade de certificação raiz (CA).

Respostas Incorretas:

Uma CA não assina ou verifica mensagens de infra-estrutura.

CA emite e assina chaves públicas, e não chaves privadas.

Na criptografia, uma PKI (infra-estrutura de chave pública) é um arranjo que liga chaves públicas com identidades de usuários respectivas por meio de uma autoridade de certificação (CA). O papel principal da CA é assinar e publicar digitalmente a chave pública vinculada a um determinado usuário.

Uma autoridade de certificação não publicaria listas de depósito de chaves.

Key escrow é o processo de armazenamento de chaves ou certificados para uso da lei. A aplicação da lei tem o direito, sob a intimação, de realizar investigações usando essas chaves.

quatro estratégias básicas de autenticação

Abordamos problemas de autenticação de rede e outros, escolhendo entre quatro estratégias básicas de autenticação. Algumas vezes são chamados de padrões de design, seguindo o trabalho do arquiteto Christopher Alexander e da comunidade de software orientado a objetos. Cada padrão é construído a partir de blocos de construção cripto conhecidos. Aqui estão os quatro padrões:

1. Local: todos os componentes do sistema residem dentro de seu limite de segurança, desde o dispositivo de entrada (teclado, biométrico) até o banco de dados de autenticação. Cada dispositivo local contém um banco de dados de autenticação que é completamente independente dos outros.
2. Direto: o sistema contém seu próprio banco de dados de autenticação independente, mas os usuários se autenticam a partir de locais remotos.
3. Indireta: o sistema aceita logins remotos, mas depende de um sistema separado, o servidor de autenticação, para executar o processo de autenticação. O próprio sistema não mantém um banco de dados de autenticação para usuários regulares.
4. Offline: Esta é uma variante de autenticação direta em que o banco de dados usa certificados de chave pública para autenticar seus usuários.
Essas quatro abordagens têm seus próprios benefícios e deficiências. Escolha uma abordagem ou outra de acordo com características de segurança e benefícios práticos das alternativas. Algumas alternativas têm elementos especiais de segurança e usabilidade:

• Limite de segurança. Indique quais componentes do sistema requerem proteção para garantir a integridade da decisão de autenticação e para proteger o segredo da base de dados de autenticação.
• Requisitos Crypto. Diferentes sistemas podem usar chaves secretas ou chaves públicas ou nenhum cripto.
• Tolerância ao erro. Se alguns componentes do sistema estão offline, alguns sistemas ainda podem tomar decisões de autenticação.


(Smith 586)
Smith, Richard E. Elementary Information Security, 2ª edição. Jones & Bartlett Learning, 20150223. 

Saturday, November 25, 2017

exigir acesso especial a comunicações criptografadas

Peter G. Neumann, pioneiro em segurança informática, diz que "há mais vulnerabilidades do que nunca" que poderiam ser exploradas através do acesso a comunicações criptografadas. Crédito Jim Wilson / The New York Times


SAN FRANCISCO - Um grupo elitista de tecnólogos de segurança concluiu que os governos americano e britânico não podem exigir acesso especial a comunicações criptografadas sem colocar em risco os dados mais confidenciais do mundo e as infra-estruturas críticas.

Um novo documento do grupo, formado por 14 dos criptógrafos e cientistas da computação, é uma formidável salva em uma escaramuça entre inteligência e líderes da lei, tecnólogos e defensores da privacidade. Após as revelações de Edward J. Snowden - com violações de segurança e conscientização sobre a vigilância do Estado-nação em um nível recorde e os dados que se deslocam on-line a velocidades vertiginosas - a criptografia surgiu como uma questão importante no debate sobre os direitos de privacidade.

Isso colocou Silicon Valley no centro de um conflito. As empresas de tecnologia, incluindo a Apple, a Microsoft e o Google, estão mudando para criptografar mais seus dados corporativos e de clientes depois de saber que a Agência Nacional de Segurança e suas contrapartes estavam siphonando as comunicações digitais e pirateando os centros de dados corporativos.

No entanto, os líderes da lei e da agência de inteligência argumentam que tais esforços impedem sua capacidade de monitorar seqüestradores, terroristas e outros adversários. Na Grã-Bretanha, o primeiro-ministro David Cameron ameaçou proibir completamente as mensagens criptografadas. Nos Estados Unidos, Michael S. Rogers, diretor da NSA, propôs que as empresas de tecnologia fossem obrigadas a criar uma chave digital para desbloquear dados criptografados, mas dividir a chave em peças e protegê-la para que nenhuma pessoa ou agência governamental poderia usá-lo sozinho.

O debate sobre encriptação deixou os dois lados amargamente divididos e no modo de luta. O grupo de criptógrafos publicou deliberadamente seu relatório um dia antes de James B. Comey Jr., diretor do Escritório Federal de Investigação, e Sally Quillian Yates, vice-procurador-geral do Departamento de Justiça, devem testemunhar ante o Comitê Judiciário do Senado sobre as preocupações de que eles e outras agências governamentais têm que as tecnologias de criptografia os impedirão efetivamente fazer seus trabalhos.



Continue lendo a história principal

O novo artigo é a primeira análise técnica aprofundada das propostas governamentais dos principais criptógrafos e pensadores de segurança, incluindo Whitfield Diffie, pioneiro da criptografia de chave pública e Ronald L. Rivest, o "R" no algoritmo de criptografia pública RSA amplamente utilizado . No relatório, o grupo disse que qualquer esforço para dar ao governo "acesso excepcional" às comunicações criptografadas era tecnicamente inviável e deixaria em risco os dados confidenciais e as infra-estruturas críticas, como os bancos e a rede elétrica.


Documento: relatório sobre comunicação criptografada
Dar aos governos uma chave para as comunicações criptografadas também exigirá um grau extraordinário de confiança. Com a agência do governo viola agora a norma - mais recentemente no Escritório de Gestão de Pessoal dos Estados Unidos, o Departamento de Estado e a Casa Branca - os especialistas em segurança disseram que as autoridades não podem confiar para manter essas chaves a salvo de hackers e criminosos. Eles acrescentaram que, se os Estados Unidos e a Grã-Bretanha exigissem chaves de backdoor para as comunicações, a China e outros governos nos mercados estrangeiros seriam estimulados a fazer o mesmo.

"Esse acesso abrirá portas através das quais criminosos e estados-nação maliciosos podem atacar os próprios indivíduos que a lei procura defender", afirmou o relatório. "Os custos serão substanciais, o dano à inovação grave e as conseqüências para o crescimento econômico são difíceis de prever. Os custos para o poder suave dos países desenvolvidos e para nossa autoridade moral também seriam consideráveis ​​".

Limites da criptografia, comentários

Estive na situação infeliz onde tive que lidar com esse pesadelo legal. O novo acordo que regula a exportação de criptografia internacionalmente é chamado de Wassenaar. Se o seu produto é o que é chamado de produto de mercado de massa, ou seja, disponível para compra ao público em geral sem restrições, você pode ignorar quaisquer restrições de exportação. Você também pode ignorar isso se o seu software for de código aberto e disponível gratuitamente para todos. Há mais exclusões, DRM, se a entrada para os algoritmos criptográficos não puder ser alterada...

Se você restringir suas vendas a um subconjunto selecionado de clientes ou se o seu produto for exclutivo em algum atributo, por exemplo, o preço é muito alto para ser considerado mercado de massa, você precisa entrar em contato com o órgão do governo local responsável pela conformidade de Wassenaar.

Se sua criptografia é baseada em um algoritmo simétrico, mantenha o tamanho da chave em 56 bits ou menos. (por exemplo, AES, DES, Blowfish ...) Se a sua criptografia for baseada na dificuldade de factorizar números inteiros, mantenha o tamanho da chave em 512 bits ou menos. (por exemplo, RSA) Se sua criptografia é baseada na dificuldade de computar logaritmos discretos em um grupo multiplicativo de um campo finito, mantenha o tamanho em 512 bits ou menos. (por exemplo, Diffie Hellman)
Se sua criptografia for baseada em logaritmos discretos em um grupo mencionado anteriormente, mantenha o tamanho em 112 bits ou menos. (por exemplo, Diffie-Hellman sobre uma curva elíptica)


O que é extremamente provável que se torne um enorme encargo burocrático na sua organização, uma vez que os controles de exportação são extremamente mal configurados para lidar com coisas como o software onde você pode ter muitos milhares de clientes. É melhor evitá-lo, a menos que a criptografia seja parte integrante do seu produto. A maioria das empresas e indivíduos não são afetados pelo acordo, pois tenta ser suficientemente estreito para apenas capturar as empresas que negociam com governos estrangeiros.

Se o seu sistema faz algum tipo de trabalho criptoanalítico, geralmente é considerado ainda mais sensível e suas chances de estarem em território controlado por exportação aumentam.

Estratégia de backup



• Decida o que fazer backup
- Tudo, ou apenas arquivos ativos?

• Decida quando e como fazer backup
- Mais frequentemente = mais intrusivo e caro
- Menos freqüentemente = falta trabalho mais recente

• Verifique se o sistema funciona
- Tentativa de restauração de um sistema

• Organização de backups no local e fora do local
- Um grande desastre pode destruir backups no local

Tipos de planejamento de contingência



- Backup e recuperação de dados
- Manipulação de incidentes
- Preparação e recuperação de desastres

Padrões para implantação


• Como uma empresa implanta um novo sistema?
- Mais complicado do que o processo de correção
• Fases típicas
- Planejamento: estabelecer requisitos, riscos
- Implementação: projeto e construção
- Implantação: aprova e instala

• Uma empresa pode estabelecer "portões ou conexões" em cada passo de desenvolvimento para monitorar o progresso

• Aceitação de risco - uma decisão executiva que os benefícios do sistema superam os riscos

Reduzindo a ameaça dentro da Empresa




- Monitoramento - as pessoas se comportam quando assistidas


- Controle multi-pessoal: separação de dever



- Rotação de trabalho: tornar difícil de forma confiável, exploando mais facilmente as várias formas de fraude 

reference architecture from Microsoft - 2017


Friday, November 24, 2017

RAID

RAID-0 é conhecido como striping. Não é uma solução tolerante a falhas, mas melhora o desempenho do disco para operações de leitura / gravação. Striping requer um mínimo de dois discos e não usa paridade. RAID-0 pode ser usado onde o desempenho é necessário sobre a tolerância a falhas, como um servidor de transmissão de mídia.
RAID-1 é conhecido como espelhamento porque os mesmos dados são gravados em dois discos para que os dois discos tenham dados idênticos. Esta é uma solução tolerante a falhas que faz a metade do espaço de armazenamento. Um mínimo de dois discos são usados ​​em espelhamento e não usa paridade. RAID-1 pode ser usado onde a tolerância a falhas é necessária para desempenho, como em um servidor de autenticação.
RAID-5 é uma solução tolerante a falhas que usa paridade e striping. Um mínimo de três discos é necessário para RAID-5, com o valor de um disco de espaço usado para informações de paridade.
No entanto, a informação de paridade é distribuída em todos os discos. O RAID-5 pode recuperar-se de uma falha no disco.
RAID-6 é uma solução tolerante a falhas que usa dupla paridade e striping. Um mínimo de quatro discos são necessários para RAID-6. A paridade dupla permite que o RAID-6 se recupere da falha simultânea de até dois discos. Os dados críticos devem ser armazenados em um sistema RAID-6.

Referências:
Dulaney, Emmett e Chuck Eastton, CompTIA Security + Study Guide, 6ª edição, Sybex, Indianapolis, 2014, pp. 34-36, 234-235

Thursday, November 23, 2017

Windows Server 2016 - mimikatz to dump logins



Não aceitar a responsabilidade



Uma violação maciça não é um erro individual ou uma falha de tecnologia - é uma quebra organizacional que é responsabilidade do executivo superior. Pode não ser uma surpresa que os principais executivos geralmente não o vejam dessa maneira. Um estudo da empresa de gerenciamento de riscos Stroz Friedberg descobriu que apenas 45% dos líderes seniores acreditam que eles são responsáveis por proteger suas empresas contra ataques cibernéticos.

Demorou 11 dias após a violação da Sony para que qualquer executivo se desculpasse pela violação e 26 dias para o Presidente da Sony, Howard Stringer, fazê-lo publicamente. O CEO da Equifax, Richard Smith, inicialmente mostrou humildade e responsabilidade logo após a violação da empresa, dizendo em um vídeo: "Lamento profundamente esse incidente e peço desculpas a todos os consumidores afetados e a todos os nossos parceiros". Mas depois de ser forçado a renunciar , Smith culpou um funcionário por não ter tomado medidas básicas de segurança em seu depoimento perante um comitê da Casa dos EUA.

Até que mais altos executivos comecem a responsabilizar-se por incidentes cibernéticos e aprender com os erros que outros fizeram antes deles, continuaremos a ver violações e má liderança nas respostas a esses ataques.

Bill Bourdon é presidente e co-proprietário do Grupo Bateman.

Risks to an identity Perimeter


Tuesday, November 21, 2017

Tipos de ataques - Security +



PONTO DE ACESSO
Selecione o ataque apropriado de cada lista suspensa para rotular o correspondente ataque ilustrado

Instruções: Os ataques só podem ser usados uma vez e desaparecerão da lista suspensa se selecionados.

Quando você completou a simulação, selecione o botão Concluído para enviar.

Explicação:
1: Spear phishing é uma tentativa de fraude de falsificação de e-mail que visa uma organização específica, buscando acesso não autorizado a dados confidenciais. Tal como acontece com as mensagens de e-mail usadas em expedições regulares de phishing, as mensagens de phishing de lança parecem vir de uma fonte confiável. As mensagens de phishing geralmente parecem vir de uma grande e conhecida empresa ou site com uma ampla base de membros, como eBay ou PayPal. No caso do phishing de lança, no entanto, a fonte aparente do e-mail é provável que seja um indivíduo dentro da própria empresa do destinatário e geralmente alguém em uma posição de autoridade.

2: The Hoax nesta questão é projetado para fazer as pessoas acreditarem que o falso software AV (anti-vírus) é genuíno.

3: Vishing é o ato de usar o telefone na tentativa de fraudar o usuário na entrega de informações privadas que serão usadas para roubo de identidade. O escárnio geralmente finge ser um negócio legítimo, e engana a vítima em pensar que ele ou ela irá lucrar.

4: O phishing é o ato de enviar um email para um usuário que afirma falsamente ser uma empresa legítima estabelecida na tentativa de fraudar o usuário na entrega de informações privadas que serão usadas para roubo de identidade.
O e-mail de phishing direcionará o usuário a visitar um site onde eles são solicitados a atualizar informações pessoais, como uma senha, cartão de crédito, segurança social ou números de conta bancária, que a organização legítima já possui. O site, no entanto, é falso e configurado apenas para roubar as informações que o usuário entra na página.

5: de natureza semelhante ao envio de e-mail de phishing, o pharming procura obter informações pessoais ou privadas (geralmente relacionadas financeiramente) através de falsificação de domínio. Ao invés de ser spam com pedidos maliciosos e maliciosos de e-mail para você visitar sites da Web falsos que parecem legítimos, pharming 'envenena' um servidor DNS infundindo informações falsas no servidor DNS, resultando em uma solicitação do usuário sendo redirecionado para outro lugar. Seu navegador, no entanto, mostrará que você está no site correto, o que torna o pharming um pouco mais grave e mais difícil de detectar. O phishing tenta espancar as pessoas um por vez com um e-mail, enquanto o pharming permite que os golpistas segmentem grandes grupos de pessoas ao mesmo tempo através de falsificação de domínio.

Sunday, November 19, 2017

ACL two questions

Reflection
As you can see, standard ACLs are very powerful and work quite well. Why would you ever have the need for using extended ACLs? 

Standard ACLs can only filter based on the source address. In addition, they are not granular. They allow or deny EVERYTHING (protocols and services). Extended ACLs, while harder to write, are well suited to complex networks where you may need to allow only certain ports access to networks while denying others.

Typically, more typing is required when using a named ACL as opposed to a numbered ACL. Why would you choose named ACLs over numbered? 


Students could list two reasons here. The first reason is that using named ACLs gives you the ability to modify specific lines within the ACL itself, without retyping the whole thing. NOTE: Newer versions of the IOS allows numbered ACLs to be modified just liked named ACLs. Secondly, having a named ACL is a good best practice as it helps to document the purpose of the ACL with a descriptive name.

Saturday, November 18, 2017

IPv6

Address Privacy

The privacy of autoconfigured IPv6 addresses using the interface identifier was a major issue in the IETF. If an IPv6 address is built using the MAC identifier, your Internet access could be traced because this identifier is unique to your interface. Part of the concern is the result of a misunderstanding. An IPv6 node can have an address based on the interface identifier, but this is not a requirement. As an alternative, the IPv6 device can have an address like the ones currently used with IPv4, either static
and manually configured or dynamically assigned by a DHCP server. In early 2001, RFC 3041, "Privacy Extensions for Stateless Address Autoconfiguration in IPv6," was published, introducing a new kind of address available only in IPv6 that contains a random number in place of the factory-assigned serial number. This address can also change over time. An Internet device that is a target for IP communication—for instance, a web or FTP server—needs a unique and stable IP address. But a host
running a browser or an FTP client does not need to have the same address every time it connects to the Internet. Some organizations have modified their DHCPv6 server to generate random interface identifiers according to RFC 3041, rotate those identifiers regularly, and maintain audit tables of the address assignments. This way, they use DHCPv6 to manage their address space but prevent anyone from topology mapping their network or tracking their nodes. With the address architecture in IPv6,
you can choose between two types of addresses:
Unique stable IP addresses  Assigned through manual configuration, a DHCP server, or autoconfiguration using the interface identifier Temporary transient IP addresses Assigned using a random number in
place of the interface identifier.

The Interface ID

Addresses in the prefix range 001 to 111 should use a 64-bit interface identifier that follows the EUI-64 (Extended Unique Identifier) format (except for multicast addresses with the prefix 1111 1111). The EUI-64 is a unique identifier defined by the Institute of Electrical and Electronics Engineers (IEEE); for more
information, refer to http://standards.ieee.org/regauth/oui/tutorials/EUI64.html Appendix A of RFC 4291 explains how to create EUI-64 identifiers, and more details can be found in the link-specific
RFCs, such as "IPv6 over Ethernet" or "IPv6 over FDDI." Chapter 7 and Appendix A of this book contain a short discussion and a complete list of these RFCs, respectively. A host uses an identifier following the
EUI-64 format during autoconfiguration. For example, when our host Marvin autoconfigures for a link-local address on an Ethernet interface using its MAC address, the 64-bit interface identifier has to be created from the 48-bit (6-byte) Ethernet MAC address. First, the hex digits 0xff-fe are inserted between
the third and fourth bytes of the MAC address. Then the universal/local bit, the second low-order bit of 0x00 (the first byte) of the MAC address, is complemented. The second low-order bit of 0x00 is 0, which, when complemented, becomes 1; as a result, the first byte of the MAC address becomes 0x02. Therefore, the IPv6 interface identifier corresponding to the Ethernet MAC address 00-02-b3-1e-
83-29 is 02-02-b3-ff-fe-1e-83-29. This example discusses only the EUI-64 creation process. Many other steps occur during autoconfiguration. The link-local address of a node is the combination of the prefix fe80::/64 and a 64-bit interface identifier expressed in IPv6 colon-hexadecimal

notation. Therefore, the MAC-based link-local address of the previous example node, with prefix fe80::/64 and interface identifier 02-02-b3-ff-fe-1e-83-29, is fe80::202:b3ff:fe1e:8329. This process is described in RFC 2464, "Transmission of IPv6 Packets over Ethernet Networks."
Hagen, S. (2014). IPv6 essentials. O'reilly.




Given that, the IPv6 class has so many IP addresses available; could we get rid of MAC address assignments and ARP? IF every device in the world had a unique IPv6 address, wouldn't this be sufficient to route traffic globally? Wouldn't this be alot like having a public phone number, in that you could easily identify a single device globally? We could get rid of switches all together and just have a world of routers.

The first characteristic I would like to point is each company has to plan if they want the total transition between  IPv4 to IPv6, many articles and books come to the conclusion that it is worth if done with a total approve from the organization, pointing that this process could be very complex and not sure of success, furthermore, let’s check some information.
The transition methods such dual-stack protocols, tunneling IPv6 through IPv4 and vice-versa and/or translating addresses using NAT-PT could handle most incompatibility problems as Angelescu, S. (2010) summarizes in the IPv6 chapter, and here, we can see that we could get rid of MAC address and ARP using the ICMPv6 and encapsulation, of course, having a little overhead in the IP header for that. Other authors Clafani (2017) summarizes these issues with 5 main situations (negative and positives) where IPv6 could handle better the organization data flow:
1) Concern 1 – Selling the Migration Internally to CIO/CFO
2) Concern 2 – The Cost
3) Concern 3 – Complexity
4) Concern 4 – Dealing with Legacy System Issues
5) Concern 5 – Cleaning Current IPv4 Inventory
Working on those 5 concerns, I found that the ProVision’s IP Address Management (IPAM ) can show what devices will have problem with the transition, so gaining time and managing the problem of legacy devices. Of course, neither the TechNet article nor Clafani says that this is flawless, but it is using for many companies successfully.
IPv6 doesn’t use Broadcast as IPv4 (here, we have an incredible evolution), so it uses NDP and ICMPv6, avoiding overhead in the IP header at the beginning, but having overhead with the network security, example IPSec. Still, even using encapsulation programs to resolve some incompatibilities, we will face that IPv4 does not support the quality of service provisions of IPv6, thus the quality benefits will not be obtained completely. Getting few results until a large number of others also upgrade their equipment. (Irvine, 2002)
When I read the Clafani's article, my conclusion was the majority of problems have more than one solution and most transitions didn’t occur yet because many companies don’t see the cost benefit for this transition and it is not clear for everybody the timeline for the transition in a big company.
Sure, some articles and forums saying that we have (CIDR) and (NAT and PAT), so they have helped to extend the inevitable lack of addresses, but we will run out of them. (Lammle, 2013)
This article from ISOC points again that NAT will not resolve this issue forever, so the implementation of IPv6 or other new protocol that tackles this problem is inevitable. 
So why has it taken so long for IPv6 to be implemented? ISOC (n.d.)
“The imminent need to migrate systems to the IPv6 protocol does not exist the way we saw with Y2K (Millennium bug). As a result, enterprises have frequently decided to postpone investment in the transition. One of the reasons is that IPv6 deployment is a necessary upgrade procedure that requires the investment of human and capital resources, but does not offer clear short-term return. There are also workarounds, such as the introduction of Network Address Translation (NAT) that allows organizations to extend their addresses to more devices.  These workarounds are costly and not viable in the long-term. The only way forward is to adopt IPv6. The time to adopt is now - and many organizations have already initiated, and even completed the transition process. This is why many organizations have recently joined World IPv6 Day.”

Since we have the ICMPv6 to substitute ARP,  we can use dual stack protocol, 6to4, or tunneling to transmit the data. I found useful for me reading this question (Stack). As we can read on Tamera (2017):
“For example, the ICMP protocol described next works on both IPv4 and IPv6 networks, but the IGMP and ARP protocols are used only on IPv4 networks. Let’s see how these three protocols work. IPv6 relies on ICMPv6 (Internet Control Message Protocol for use with IPv6) to perform the functions that ICMPv4, IGMP, and ARP perform in IPv4. In other words, ICMPv6 on IPv6 networks performs the functions of IGMP and ARP on IPv4 networks to detect and report data transmission errors, discover other nodes on a network, and manage multicasting.”
But remembering that even with the dual stack protocol, not all the devices will be compatible without MAC and ARP (Layer 2) as main transport and discovery protocol. Requiring some management programs to resolve this and investing more in new equipment’s with the new protocols.

References:
Angelescu, S. (2010). CCNA Certification. Hoboken: For Dummies. Imprint.
Clafani. (2017, August 25). Top 5 Concerns of Network Admins About Migrating to IPv6 in 2018. Retrieved from https://www.6connect.com/resources/top-5-concerns-of-network-admins-about-migrating-to-ipv6/
Dean, T. (2013). Network+ guide to networks. Australia: Course Technology, Cengage.
can IPv6 eliminate mac address. (2012, December). Retrieved from https://stackoverflow.com/questions/13834515/can-ipv6-eliminate-mac-address
Hagen, S. (2014). IPv6 essentials. O'reilly.
IP Address Management (IPAM) Overview. (2014, April 15). Retrieved from https://technet.microsoft.com/en-us/library/hh831353(v=ws.11).aspx
Irvine, J., & Harle, D. (2002). Data communications and networks: An engineering approach. Chichester, West Sussex: Wiley. 
Society, I. (n.d.). IPv6 - Frequently Asked Questions on IPv6 adoption and IPv4 exhaustion. Retrieved from https://www.isoc.org/internet/issues/ipv6_faq.shtml#q12
Lammle, T., & Swartz, J. (2013). CCNA data center: Introducing Cisco data center networking.






Monday, November 6, 2017

World’s largest data leaks

Panama Papers, 2016: 2.6 terabytes Paradise Papers, 2017: 1.4 TB Offshore leaks, 2013: 260 GB Bahamas leaks, 2016: 38 GB Luxembourg leaks, 2016: 4.4 GB Swiss leaks, 2015: 3.3 GB Wikileaks Cablegate, 2010: 1.7 GB

Sunday, November 5, 2017

SMB and TFTP



Teletype

Teletype machines allowed an easy solution: It was possible to disable the printer while typing on the keyboard. Computing systems that used teletypes would disable the printer when asking for a password. Systems that used Selectric-based terminals, however, could not disable its printer. Instead, the systems would print a mask by repeatedly typing characters over the first several places on the line, making the user’s typing unreadable. When the user typed the password, the letters were typed on top of the mask. Figure 6.5 shows an example of password masking, taken from Boston University’s timesharing system.

Timesharing system designers in the United States did not immediately worry about the remaining attacks on passwords, despite problems with the authentication database. The fifth attack, however, posed a worry at the University of Cambridge, England, where they were developing the Titan timesharing system. Their authentication database also contained all usernames and passwords in the system. The Titan system was regularly copied to a backup tape, and they could not protect those tapes against weak threats within the local computing community.

(Smith 232)

Smith, Richard E. Elementary Information Security, 2nd Edition. Jones & Bartlett Learning, 20150223. VitalBook file.


The citation provided is a guideline. Please check each citation for accuracy before use.


Partnership

“Before building any relationship, think about how your partner could be the best companion to you in achieving your life’s earnest goals”
― Rajasaraswathii, Success-Talks: For Evolution of Your Success

Wednesday, November 1, 2017

My research about Multi-factor authentication


I like to use the single sign one solution through Dashlane, but of course, has some downsides if somebody has access to your master password. Also applying always Least Privilege to the work level is advised.  
Which is capable to show how this authentication processes is done.
In addition, Summarizing multi-authentication is not always unanimous as we can here at https://security.stackexchange.com/questions/68009/four-factor-authentication
From this specific question, we can get a sense of how one question could be interpreted differently and some of them created, even more, ways to see the multi-factor authentication.


(1) something you know   =username and password combination or a pin
(2) something you have    =bank card, mobile device, smartwatch
(3) something you are       =biometrics like fingerprints, retina scans, or voice recognition.
(4) something you do          =signing their name


Pompon, R. (2016) condenses: “You can combine at least two of these things to be multi-factor authentication. A certificate, a fingerprint, or a token by itself is not two-factor authentication. You must combine the factors. This is why tokens and bank cash cards have PINs associated with them and passports have your photograph. The security comes from raising the difficulty of impersonating the user by a compromise of one of the factors. You may duplicate her fingerprint but you still need her password to log in. This is why IPsec virtual private networks use a combination of shared secrets (something you know) and IP addresses (something you are). Software objects combine something that you are, like checksum hashes and embedded digital keys (something you have).”
This case of duplication of a fingerprint can be checked on my references.

References:
Pompon, R. (2016). IT security risk control management: An audit preparation plan.



Four-factor authentication. (n.d.). Retrieved from https://security.stackexchange.com/questions/68009/four-factor-authentication


Chief Cyberstrategy Officer at CyberVista

REAL WORLD EXAMPLE

We asked Simone Petrella, Chief Cyberstrategy Officer at CyberVista, to share an example of a company taking security education seriously. One organization approached CyberVista, she says, when they were in the “initial phases of creating and building their security strategy, including the hiring of a chief information security officer,” which was a position that didn’t exist in that company up until that point. “The board and executive team wanted to ensure they fully understood the cyber risks in their business so that they had a baseline by which to measure progress as they stood up a program and strategy,” Petrella says. This example stands out to her because she says it’s rare for a company to take that degree of an in-depth approach when developing a security strategy, and also because “it allowed them greater insight into the skills and qualifications they needed to hire a competent and business-minded CISO to execute that strategy.”

JK Lialias, director of product solutions at McAfee

GENERAL BEST  PRACTICES

JK Lialias, director of product solutions at McAfee, offers up a few best practices when trying to shore up any potential endpoint security weaknesses:

• Implement a security framework that scales and adapts to a changing threat landscape.

• Ensure that detection and response capabilities form a core part of the overall endpoint defense DNA. Don’t simply bolt it on; make sure it integrates well into the overall endpoint protection technologies and, more importantly, the rest of your security environment.

• Deploy technologies that have been proven or built on sound technology to avoid the false positives. Be mindful of how the next silver bullet is going to function, make sure that technologies are integrated and collaborate with each other.

• Share threat intelligence in real-time and quickly apply learnings.

• Signature-less protection is essential, especially when dealing with zero-day threats. Machine
learning-based technologies are great as many leverage the cloud for additional speed and
effectiveness.

• Automate where possible.

• Consolidate agents for more  seamless, less contextual changes, and management of
the endpoint environment.

• Eliminate manual process to help stay ahead of advanced threats and become more strategic in terms of approaching  endpoint security challenges.

Remote Hybrid and Office work