Ferramentas do usuário

Ferramentas do site


start

Tabela de conteúdos

Security Operations Center

Resposta de Incidentes

mDNS - Multicast DNS (5353/udp)

O mDNS é um protocolo DNS Multicast. Um “multicast” repassa a mesma mensagem para vários pontos em uma rede.

O mDNS é um método para descoberta de vizinhos de uma rede, indicado para redes pequenas sem servidores DNS próprios.

Notificação

Caro responsável,

Os IPs presentes no log abaixo são de servidores sob sua responsabilidade com o serviço mDNS - Multicast DNS (5353/udp) habilitado.

Este serviço pode ser abusado para fazer parte de ataques distribuídos de negação de serviço, consumindo recursos da sua rede e impactando terceiros.

Lembramos que os endereços IP listados também podem ser dispositivos de rede com o serviço mDNS habilitado, como roteadores, CPEs (modem ou roteador de uso doméstico instalado nos clientes), impressoras, dispositivos para streaming de mídia, entre outros.

Gostaríamos de solicitar que:

* O serviço mDNS seja acessível apenas à sua rede local, ou que desabilite o serviço no equipamento, caso nao esteja em uso.

Uma descrição do problema e possíveis soluções podem ser encontradas no final deste documento.

Se você não for a pessoa correta para corrigir o problema destes equipamentos com o serviço mDNS habilitado, por favor repasse essa mensagem para alguém de sua organização que possa fazê-lo.

O indicador no campo 'Resultados do Teste' indica o tipo de problema testado e significa:

* mdns: status/pacotes/bytes, onde status é “open”, e pacotes/bytes indicam o tamanho da resposta recebida, em pacotes/bytes;

Endereco IP Status Data do Teste Resultados do Teste
000.000.000.000 OPEN 2030-01-01T23:59:00Z mdns: open/1/78

Mais detalhes sobre o porque do envio desta mensagem, quem é o CERT.br e como resolver este problema estao listados abaixo.

Cordialmente,

O que é o serviço mDNS (5353/udp)?

O mDNS (Multicast DNS) é um protocolo de rede utilizado para a resolução de nomes em redes locais que não possuem um servidor DNS próprio. Por se tratar de um serviço utilizado apenas dentro de redes locais, não é necessário que o serviço mDNS esteja exposto à Internet.

Caso esteja acessível a toda a Internet via UDP, esse serviço pode ser explorado para ataques DDoS que usem amplificação. Isto ocorre porque o atacante envia uma requisição forjando o IP da vítima e o servidor com mDNS retorna uma resposta muito maior que a requisição.

Por que devo me preocupar com isso?

O serviço mDNS pode ser abusado para causar danos a terceiros, envolvendo sua rede em ataques a outras organizações, além de implicar em um consumo de banda maior.

Informações adicionais sobre como evitar que sua rede seja abusada para este e outros ataques DDoS podem ser econtradas aqui:

https://cert.br/docs/whitepapers/ddos/

Como faço para corrigir o problema?

Se o serviço mDNS não for utilizado na sua rede desabilite o serviço no seu dispositivo. Se o recurso for necessário em sua rede, configure-o de modo que esteja disponível apenas para a rede local.

Onde posso obter informações adicionais sobre o abuso do protocolomDNS para ataques DDoS?

- UDP-Based Amplification Attacks: https://www.us-cert.gov/ncas/alerts/TA14-017A

Como o CERT.br sabe que este é um dispositivo vulnerável?

O CERT.br está recebendo notificações com listas de dispositivos que usam mDNS que possivelmente estão sendo abusados e utilizados em ataques distribuídos de negação de servidos (DDoS). O CERT.br está notificando os responsáveis pelos dispositivos brasileiros presentes nestas listas.

Como posso ter certeza que resolvi o problema?

Você pode verificar seu dispositivo através do seguinte comando:

(preferencialmente execute-o a partir da Internet, ou seja, fora de uma rede interna que tenha permissão de acesso ao dispositivo).

$ dig @ENDERECO_IP -p 5353 ptr _services._dns-sd._udp.local

Onde ENDERECO_IP é o IP do dispositivo usando mDNS a ser testado.

Antes de executar o comando acima certifique-se que você tem a ferramenta dig instalada em seu computador.

Onde aprender mais sobre configuração segura de sistemas?

- Práticas de Segurança para Administradores de Redes Internet: https://cert.br/docs/seg-adm-redes/

DHCPDISCOVER (37810/udp)

DHCPDISCOVER: serve para encontrar quais servidores DHCP estão disponíveis. DHCPOFFER: uma resposta do servidor para os pacotes DHCPDISCOVER que têm os primeiros parâmetros da conexão. DHCPREQUEST: pedidos dos clientes para prolongar o tempo de aluguel do endereço IP.

Notificação

Caro responsável,

Os IPs presentes no log abaixo são de equipamentos de vídeo (DVR ou câmeras) sob sua responsabilidade ou sob a responsabilidade de usuários da sua rede com o serviço DHCPDiscover (37810/udp) habilitado.

Este serviço pode ser abusado para fazer parte de ataques distribuídos de negação de serviço (DDoS), consumindo recursos da sua rede e impactando terceiros.

Além disso, informações sensíveis armazenadas neste equipamento podem ser reveladas a terceiros e ele pode ter seu funcionamento interrompido se for abusado para um ataque DDoS.

Gostaríamos de solicitar que:

* O serviço DHCPDiscover seja acessível somente a usuários ou dispositivos autorizados. Caso o serviço DHCPDiscover seja desnecessário nesse equipamento, recomendamos que ele seja desativado ou tenha seu acesso limitado;

Uma descrição do problema encontra-se no final deste documento.

Se você não for a pessoa correta para corrigir o problema destes equipamentos, por favor repasse essa mensagem para alguém de sua organização ou para o cliente que possa fazê-lo.

O indicador no campo 'Resultados' indica o tipo de problema testado e significa:

* dvr-dhcpdiscover: status/pacotes/bytes, onde status é “open”, e pacotes/bytes indicam o tamanho da resposta recebida, em pacotes/bytes

Endereco IP Status Data do Teste Resultados Detalhes
0.0.0.0 OPEN 2030-01-31T00:00:00Z dvr-dhcpdiscover: open/1/719 Intelbras MHDX 1116
0.0.0.0 OPEN 2030-01-31T00:00:00Z dvr-dhcpdiscover: open/1/709 Intelbras MHDX 1116
0.0.0.0 OPEN 2030-01-31T00:00:00Z dvr-dhcpdiscover: open/1/790 Intelbras HDCVI 1016 - Geração 2

Mais detalhes sobre o porque do envio desta mensagem, quem é o CERT.br e como resolver este problema estão listados abaixo.

Cordialmente, – CERT.br
cert@cert.br
https://cert.br

O que é o serviço DHCPDiscover (37810/udp) em equipamentos de vídeo?

O servico DHCPDiscover é utilizado para gerência de equipamentos de gravação de vídeo (DVR ou câmeras).

Caso esteja acessível a toda a Internet via UDP, esse serviço pode ser explorado para ataques DDoS que usem amplificação.

Isto ocorre porque o atacante envia uma requisição forjando o IP da vítima e o serviço DHCPDiscover retorna uma resposta muito maior que a requisição.

Por que devo me preocupar com isso?

Os equipamentos com o serviço DHCPDiscover habilitado podem ser abusados para causar danos a terceiros, envolvendo sua rede em ataques a outras organizações e implicar em um consumo de banda maior.

Além dessas implicações, informações sensíveis armazenadas neste equipamento podem ser reveladas a terceiros e ele pode ter seu funcionamento interrompido se for abusado para um ataque DDoS.

Informações adicionais sobre como evitar que sua rede seja abusada para ataques DDoS podem ser encontradas aqui:

https://cert.br/docs/whitepapers/ddos/

Como faço para corrigir o problema?

Configure o equipamento de vídeo de forma que ele seja acessível somente aos usuários ou redes autorizados, que utilizem esse serviço.

Caso o serviço DHCPDiscover seja desnecessário nesse equipamento, recomendamos que ele seja desativado ou tenha seu acesso limitado.

Onde posso obter informações adicionais sobre o abuso do DVR-DHCPDiscover e ataques DDoS?

- UDP-Based Amplification Attacks https://www.us-cert.gov/ncas/alerts/TA14-017A

- DHCPDiscover Reflection/Amplification DDoS Attack Mitigation Recommendations https://www.netscout.com/blog/asert/dhcpdiscover-reflectionamplification-ddos-attack-mitigation

- DHDiscover reflection attacks can magnify nearly 200 times of the attack 1 https://nsfocusglobal.com/dhdiscover-reflection-attacks-can-magnify-nearly-200-times-of-the-attack-1/

Como o CERT.br sabe que este é um equipamento vulnerável?

O CERT.br recebe notificações com listas de equipamentos que possivelmente estão sendo abusados e utilizados em ataques distribuídos de negação de serviços (DDoS). O CERT.br está notificando os responsáveis pelos servidores brasileiros presentes nestas listas.

Como posso ter certeza que resolvi o problema?

Você pode verificar seu servidor através do seguinte comando: (preferencialmente execute-os a partir da Internet, ou seja, fora de uma rede interna que tenha permissão de acesso ao servidor).

echo -n “\xff” | nc -u IP_DEVICE 37810

Onde IP_DEVICE é o IP do equipamento a ser testado.

Onde aprender mais sobre configuração segura de sistemas?

- Práticas de Segurança para Administradores de Redes Internet https://cert.br/docs/seg-adm-redes/

NetBIOS (137/udp)

Cada uma das portas tem uma função específica: a porta 137 UDP é usada para a navegação, incluindo a visualização dos compartilhamentos disponíveis, a porta 138 UDP para a resolução dos nomes da rede e a porta 139 TCP é usada para a transferência de dados.

O NetBIOS fornece três serviços distintos: Serviço de nomes para registro e resolução de nomes. Serviço de sessão para comunicação orientada à conexão. Serviço de distribuição de datagrama para a comunicação sem conexão.

Notificação

Caro responsável,

Os IPs presentes no log abaixo são de servidores sob sua responsabilidade com o serviço NetBIOS (137/udp) habilitado.

Este serviço pode ser abusado para fazer parte de ataques distribuídos de negação de serviço, consumindo recursos da sua rede e impactando terceiros, além de poder revelar informações sensíveis armazenadas neste equipamento.

Gostaríamos de solicitar que:

1) O serviço NetBIOS seja acessível apenas à sua rede local, ou que desabilite o servirço no equipamento, caso ele não esteja em uso.

Uma descrição do problema e possíveis soluções podem ser encontradas no anexo deste alerta.

O indicador no campo 'Resultados do Teste' indica o tipo de problema testado e significa:

* netbios: status/pacotes/bytes, onde status é “open”, e pacotes/bytes indicam o tamanho da resposta recebida, em pacotes/bytes;

Endereco IP | ASN | Status | Data do Teste | Resultados do Teste 0.0.0.0 | 000000 | OPEN | 2030-01-01T00:00:00Z | netbios: open/1/229 0.0.0.0 | 000000 | OPEN | 2030-01-01T00:00:00Z | netbios: open/1/121

Se você não for a pessoa correta para corrigir o problema destes servidores com o serviço NetBIOS habilitado, por favor repasse essa mensagem para alguém de sua organização que possa fazê-lo.

Cordialmente, – CERT.br
cert@cert.br
https://cert.br

O que é o serviço NetBIOS (137/udp)?

O servico NetBIOS é utilizado tipicamente por sistemas Microsoft Windows, ou sistemas Unix através do Samba, para compartilhamento de arquivos e impressoras.

Por se tratar de um serviço geralmente utilizado apenas dentro de redes locais e com sistemas anteriores ao Microsoft Windows 2000, é muito provável que não exista necessidade do serviço NetBIOS estar exposto à Internet.

Caso esteja acessível a toda a Internet via UDP, esse serviço pode ser explorado para ataques DDoS que usem amplificação. Isto ocorre porque o atacante envia uma requisição forjando o IP da vítima e o servidor com NetBIOS retorna uma resposta muito maior que a requisição.

Por que devo me preocupar com isso?

O NetBIOS pode ser abusado para causar danos a terceiros, envolvendo sua rede em ataques a outras organizações e implicando em um consumo de banda maior. Além dessas implicações, esse serviço pode revelar informacoes sensíveis sobre sua rede e seus dados armazenados.

Informações adicionais sobre como evitar que sua rede seja abusada para ataques DDoS podem ser encontradas aqui:

https://cert.br/docs/whitepapers/ddos/

Como faço para corrigir o problema?

Em sistemas Microsoft Windows desabilite o recurso chamado NetBIOS sobre TCP/IP (ou NetBIOS over TCP/IP) se ele for desnecessário aos usuários da rede. Caso nao seja possível desabilitar esse recurso sugerimos que limite o acesso a este serviço apenas para usuários de sua rede.

Em servidores Unix reconfigure o Samba incluindo a linha abaixo no arquivo de configuração:

disable netbios = yes

Se o Samba for desnecessário nesse equipamento recomendamos que o desabilite.

Onde posso obter informações adicionais sobre o abuso do protocolo NetBIOS para ataques DDoS?

Como posso ter certeza que resolvi o problema?

Você pode verificar seu servidor através do seguinte comando: (preferencialmente execute-o a partir da Internet, ou seja, fora de uma rede interna que tenha permissão de acesso ao servidor).

A partir de sistemas Microsoft Windows:

$ nbtstat -A IP_SERVIDOR

A partir de sistemas Unix com Samba:

$ nmblookup -A IP_SERVIDOR

Onde IP_SERVIDOR é o IP do servidor NetBIOS a ser testado.

Se o teste for realizado a partir de um sistema Unix, recomendamos que antes de executar o comando acima certifique-se que você tem a ferramenta nmblookup instalada em seu computador.

Onde aprender mais sobre configuração segura de sistemas?

Práticas de Segurança para Administradores de Redes Internet: https://cert.br/docs/seg-adm-redes/

Serviço Portmap Aberto

Notificação

Olá END-CUSTUMER,

Solicitamos ações de mitigação do serviço vulnerável.

Os IPs presentes no log abaixo são de servidores sob sua responsabilidade com o serviço Portmap (111/udp) habilitado.

Este serviço pode ser abusado para fazer parte de ataques distribuídos de negação de serviço, consumindo recursos da sua rede e impactando terceiros, além de poder revelar informações sensíveis armazenadas neste equipamento.

Gostaríamos de solicitar que:

* o serviço Portmap seja acessível apenas à sua rede local, ou que desabilite o serviço no equipamento, caso ele não esteja em uso.

Uma descrição do problema e possíveis soluções podem ser encontradas no anexo deste e-mail.

Endereco IP ASN Status Data do Teste Resultados do Teste
0.0.0.0 000000 OPEN 2022-07-15T10:39:24Z portmap: open/1/108

Se você não for a pessoa correta para corrigir o problema deste(s) servidor(es), por favor repasse essa mensagem para alguém de sua organização que possa fazê-lo.

Cordialmente, – CERT.br
cert@cert.br
https://cert.br/

O que é o serviço Portmap (111/udp)?

O servico Portmap, também chamado de Portmapper ou rpcbind, é utilizado para mapear serviços RPC na rede, como NIS e NFS.Esse serviço geralmente é utilizado por sistemas Unix, especialmente para compartilhamento de arquivos, além de outros serviços.

Por se tratar de um serviço geralmente utilizado apenas dentro de redes locais, é muito provável que não exista necessidade do serviço Portmap estar exposto à Internet.

Caso esteja acessível a toda a Internet via UDP, esse serviço pode ser explorado para ataques DDoS que usem amplificação. Isto ocorre porque o atacante envia uma requisição forjando o IP da vítima e o servidor com Portmap retorna uma resposta muito maior que a requisição.

Por que devo me preocupar com isso?

O Portmap pode ser abusado para causar danos a terceiros, envolvendo sua rede em ataques a outras organizações e implicando em um consumo de banda maior. Além dessas implicações, esse serviço pode revelar informações sensíveis sobre sua rede e seus dados armazenados.

Informações adicionais sobre como evitar que sua rede seja abusada para ataques DDoS podem ser encontradas aqui: https://cert.br/docs/whitepapers/ddos/

Como faço para corrigir o problema?

Configure o serviço Portmap de forma que ele seja acessível somente aos dispositivos de sua rede, que utilizem esse serviço, ou que ele seja acessível apenas via TCP. Caso o serviço Portmap seja desnecessário nesse servidor, recomendamos que ele seja desativado.

Onde posso obter informações adicionais sobre o abuso do protocolo Portmap para ataques DDoS?

Servidor DNS Recursivo Aberto

Existem dois tipos servidores DNS (Domain Name System) são o autoritativo e o recursivo, que embora possam ser executados em uma mesma máquina, possuem características distintas:

  • O autoritativo é responsável por manter os mapas referentes a uma zona local e responder a requisições vindas de máquinas de todo o mundo, que precisarem resolver nomes de domínio da zona sobre a qual este servidor tem autoridade;
  • O recursivo é responsável por receber as consultas DNS dos clientes locais e consultar os servidores externos, de modo a obter respostas às consultas efetuadas.

Um problema bastante comum de configuração é permitir que qualquer máquina na Internet faça consultas ao servidor DNS recursivo de uma determinada rede.

Servidores com esse problema são comumente chamados de servidores DNS recursivos abertos, pois apenas o servidor autoritativo é que deve responder a consultas vindas de máquinas externas.

Notificação

Caro responsável,

Os IPs presentes no log abaixo são servidores DNS recursivos abertos (53/udp) sob sua responsabilidade. Estes servidores podem ser abusados para fazer parte de ataques distribuídos de negação de serviço, consumindo recursos da sua rede e impactando terceiros.

Lembramos que os endereços IP listados também podem ser de dispositivos de rede com funcionalidade de resolução de nomes, como roteadores e CPEs (modem ou roteador de uso doméstico instalado nos clientes), entre outros.

Gostaríamos de solicitar que:

* Os servidories DNS listados sejam configurados de modo a corrigir este problema.

Uma descrição do problema e possíveis soluções podem ser encontradas em: https://cert.br/docs/whitepapers/dns-recursivo-aberto/

Endereco IP ASN Status Data do Teste Resultados do Teste
0.0.0.0 000000 OPEN 2022-05-17T11:56:55Z ancount: 1, nscount: 0, arcount: 0, ra: 1, rcode: NOERROR

Os indicadores no campo 'Resultados dos Testes' significam:

  • ancount: número de registros na seção de resposta do pacote DNS;
  • nscount: número de registros na seção de reposta autoritativa;
  • arcount: número de registros na seção adicional de resposta;
  • ra: recursividade: 1=ativada, 0=desativada;
  • rcode: status da query DNS.

Se você não for a pessoa correta para corrigir o problema deste servidor DNS recursivo aberto, por favor repasse essa mensagem para alguém de sua organização que possa fazê-lo.

Mais detalhes sobre o porque do envio desta mensagem, quem é o CERT.br e como resolver este problema estão listados abaixo.

Cordialmente,

CERT.br
cert@cert.br
https://cert.br/

O que é um servidor DNS recursivo aberto?

Um servidor DNS recursivo é considerado aberto quando aceita consultas recursivas de modo indiscriminado, de qualquer rede.

Por que devo me preocupar com isso?

Um servidor DNS recursivo aberto pode ser abusado para causar danos a terceiros, envolvendo sua rede em ataques a outras organizações, além de implicar em um consumo de banda maior.

Onde posso obter informações sobre o problema e como solucioná-lo?

Recomendações para Evitar o Abuso de Servidores DNS Recursivos Abertos https://cert.br/docs/whitepapers/dns-recursivo-aberto/

Onde aprender mais sobre configuração segura de sistemas?

Práticas de Segurança para Administradores de Redes Internet https://cert.br/docs/seg-adm-redes/


SSDP/UPnP (1900/udp)

O SSDP (Simple Service Discovery Protocol) é um protocolo de rede utilizado em uma rede local, para descoberta de dispositivos Plug and Play rodando o protocolo UPnP (Universal Plug and Play). Caso esteja acessível à toda Internet, via UDP, esse serviço pode ser explorado para ataques DDoS que usem amplificação.

Notificação

Caro responsável,

Os IPs presentes no log abaixo são de servidores sob sua responsabilidade com o serviço SSDP/uPnP (1900/udp) habilitado. Este serviço pode ser abusado para fazer parte de ataques distribuídos de negação de serviço, consumindo recursos da sua rede e impactando terceiros.

Lembramos que os endereços IP listados também podem ser dispositivos de rede com o serviço SSDP/UPnP habilitado, como roteadores e CPEs (modem ou roteador de uso doméstico instalado nos clientes).

Gostaríamos de solicitar que:

* o serviço SSDP/UPnP seja configurado corretamente ou desabilitado no equipamento, caso não esteja em uso.

Uma descrição do problema e possíveis soluções podem ser encontradas no final deste documento.

Se você não for a pessoa correta para corrigir o problema destes equipamentos com o serviço SSDP/UPnP habilitado, por favor repasse essa mensagem para alguém de sua organização que possa fazê-lo.

O indicador no campo 'Resultados do Teste' indica o tipo de problema testado e significa:

* msearch: status/pacotes/bytes, onde status é “open”, e pacotes/bytes indicam o tamanho da resposta recebida, em pacotes/bytes;

Endereco IP ASN Status Data do Teste Resultados do Teste
000.000.000.000 000000 OPEN 2022-05-10T13:02:16Z msearch: open/1/213

Mais detalhes sobre o porque do envio desta mensagem, quem é o CERT.br e como resolver este problema estão listados abaixo.

Cordialmente,
– CERT.br
cert@cert.br
https://cert.br/

O que é o serviço SSDP/UPnP (1900/udp)?

O SSDP (Simple Service Discovery Protocol) é um protocolo de rede utilizado, em uma rede local, para descoberta de dispositivos Plug and Play rodando o protocolo UPnP (Universal Plug and Play).

Caso esteja acessível a toda a Internet via UDP, esse serviço pode ser explorado para ataques DDoS que usem amplificação. Isto ocorre porque o atacante envia uma requisição forjando o IP da vítima e o servidor com SSDP/UPnP retorna uma resposta muito maior que a requisição.

Por que devo me preocupar com isso?

O servirço SSDP pode ser abusado para causar danos a terceiros, envolvendo sua rede em ataques a outras organizações, além de implicar em um consumo de banda maior.

Informações adicionais sobre como evitar que sua rede seja abusada para este e outros ataques DDoS podem ser econtradas aqui:

https://cert.br/docs/whitepapers/ddos/

Como faço para corrigir o problema?

Se o SSDP/UPnP nao for utilizado na sua rede desabilite o serviço no seu dispositivo. Se o recurso for utilizado na rede local, configure-o de modo que esteja disponível apenas para a rede local.

Onde posso obter informações adicionais sobre o abuso do protocolo SSDP para ataques DDoS?

Como o Redes TI sabe que este é um dispositivo vulnerável?

O CERT.br está recebendo notificações com listas de dispositivos que usam SSDP que possivelmente estão sendo abusados e utilizados em ataques distribuídos de negação de serviços (DDoS).

O REDES TI está notificando os responsáveis pelos dispositivos brasileiros presentes nestas listas.

Como posso ter certeza que resolvi o problema?

Você pode verificar seu dispositivo através do seguinte comando: (preferencialmente execute-o a partir da Internet, ou seja, fora de uma rede interna que tenha permissão de acesso ao dispositivo).

$ printf "M-SEARCH * HTTP/1.1\r\nHost:239.255.255.250:1900\r\nST:upnp:rootdevice\r\nMan:\"ssdp:discover\"\r\nMX:3\r\n\r\n" | nc
 -u IP_SSDP 1900

Onde IP_SSDP é o IP do dispositivo usando SSDP a ser testado.

Antes de executar o comando acima certifique-se que você tem a ferramenta netcat (nc) instalada.

Onde aprender mais sobre configuração segura de sistemas?

Agentes da Ameaça

Os atores de ameaças incluem, entre outros, amadores, hacktivistas, grupos do crime organizado, patrocinados pelo Estado e grupos terroristas. Os atores de ameaças são indivíduos ou grupos de indivíduos que realizam ataques cibernéticos. Os ataques cibernéticos são atos maliciosos intencionais destinados a impactar negativamente outro indivíduo ou organização.

  • Amadores: Amadores, também conhecidos como crianças de roteiro, têm pouca ou nenhuma habilidade. Eles costumam usar ferramentas existentes ou instruções encontradas na Internet para lançar ataques. Alguns são apenas curiosos, enquanto outros tentam demonstrar suas habilidades causando danos. Mesmo que eles estejam usando ferramentas básicas, os resultados ainda podem ser devastadores.
  • Hacktivistas: Hacktivistas são hackers que protestam contra uma variedade de ideias políticas e sociais. Os hacktivistas protestam publicamente contra organizações ou governos postando artigos e vídeos, vazando informações confidenciais e interrompendo serviços da web com tráfego ilegítimo em ataques de negação de serviço distribuída (DDoS).
  • Ganho Financeiro: Grande parte da atividade de hacking que ameaça constantemente a nossa segurança é motivada por ganhos financeiros. Esses cibercriminosos querem ter acesso a nossas contas bancárias, dados pessoais e qualquer outra coisa que possam alavancar para gerar fluxo de caixa.
  • Segredos Comerciais e Política Global: Nos últimos anos, ouvimos muitas histórias sobre estados-nação hackeando outros países, ou interferindo de outra forma com a política interna. Os Estados-nação também estão interessados em usar o ciberespaço para espionagem industrial. O roubo de propriedade intelectual pode dar a um país uma vantagem significativa no comércio internacional.

A defesa contra as consequências da ciberespionagem patrocinada pelo Estado e da guerra cibernética continuará a ser uma prioridade para os profissionais de segurança cibernética.

Quão Segura é a Internet das Coisas?

A Internet das Coisas (IoT) está ao nosso redor e em rápida expansão. Estamos apenas começando a colher os benefícios da IoT. Novas formas de usar coisas conectadas estão sendo desenvolvidas diariamente. A IoT ajuda os indivíduos a conectar coisas para melhorar sua qualidade de vida. Por exemplo, muitas pessoas estão agora usando dispositivos vestíveis conectados para rastrear suas atividades de fitness. Quantos dispositivos você possui atualmente que se conectam à sua rede doméstica ou à Internet?

Quão seguros são esses dispositivos? Por exemplo, quem escreveu o firmware? O programador prestou atenção às falhas de segurança? Seu termostato doméstico conectado é vulnerável a ataques? E o seu gravador de vídeo digital (DVR)? Se forem encontradas vulnerabilidades de segurança, o firmware no dispositivo pode ser corrigido para eliminar a vulnerabilidade? Muitos dispositivos na internet não são atualizados com o firmware mais recente. Alguns dispositivos mais antigos nem foram desenvolvidos para serem atualizados com patches. Essas duas situações criam oportunidades para atores de ameaças e riscos de segurança para os proprietários desses dispositivos.

Em outubro de 2016, um ataque DDoS contra o provedor de nomes de domínio Dyn derrubou muitos sites populares. O ataque veio de um grande número de webcams, DVRs, roteadores e outros dispositivos IoT que tinham sido comprometidos por software malicioso. Esses dispositivos formaram um “botnet” controlado por hackers. Este botnet foi usado para criar um enorme ataque DDoS que desabilitou os serviços essenciais de internet. Dyn postou um blog para explicar o ataque e sua reação a ele. Pesquise em “Dyn Analysis Summary of Friday October 21 Attack” para saber mais sobre este ataque recorde.

Para obter uma explicação sobre os perigos de não proteger dispositivos IoT, procure a palestra TED de Avi Rubin, “Todos os seus dispositivos podem ser hackeados”. Dr. Rubin é professor de Ciência da Computação na Universidade Johns Hopkins.

Impacto de Ameaça

  • PII, PHI e PSI

O impacto econômico dos ataques cibernéticos é difícil de determinar com precisão. No entanto, estima-se que as empresas percam mais de US$5 trilhões por ano até 2024 devido a ataques cibernéticos.

Informações de identificação pessoal (PII) são todas as informações que podem ser usadas para identificar positivamente um indivíduo. Exemplos de PII incluem:

  • Nome
  • Número da previdência social
  • Data de nascimento
  • Números de cartão de crédito
  • Números de contas bancárias
  • ID emitido pelo governo
  • Informações de endereço (rua, e-mail, números de telefone)

Um dos objetivos mais lucrativos dos criminosos cibernéticos é obter listas de PII que podem ser vendidas na dark web. A dark web só pode ser acessada com software especial e é usada por cibercriminosos para proteger suas atividades. As PII roubadas podem ser usadas para criar contas financeiras falsas, como cartões de crédito e empréstimos de curto prazo.

Um subconjunto de PII são informações de saúde protegidas (PHI). A comunidade médica cria e mantém registros médicos eletrônicos (EMRs) que contêm PHI. Nos EUA, o tratamento de PHI é regulamentado pela Lei de Responsabilidade e Portabilidade de Seguro Saúde (HIPAA). Na União Europeia, o Regulamento Geral de Proteção de Dados (GDPR) protege uma ampla gama de informações pessoais, incluindo registros de saúde.

As informações de segurança pessoal (PSI) são outro tipo de PII. Essas informações incluem nomes de usuário, senhas e outras informações relacionadas à segurança que os indivíduos usam para acessar informações ou serviços na rede. De acordo com um relatório de 2019 da Verizon, a segunda maneira mais comum de que os atores ameaçadores violaram uma rede foi usando PSI roubado.

A maioria dos hacks em empresas e organizações que foram relatados nas notícias envolveu PII roubado ou PHI. Exemplos recentes são:

  • Em 2019, um site de ferramentas de design gráfico on-line experimentou uma violação de dados em que as PII de aproximadamente 137 milhões de usuários foram visualizadas por hackers com detalhes de usuários para 4 milhões de contas aparecendo na internet.
  • Em 2020, uma grande empresa chinesa de mídia social foi hackeada, resultando em roubo de PII, incluindo números de telefone, roubados de 172 milhões de usuários. O roubo não incluía senhas, então os dados estavam disponíveis por um preço baixo na internet.
  • Em 2019, uma empresa que faz jogos que são jogados no Facebook foi hackeada e o PII de 218 milhões de usuários foi roubado.

Vantagem Competitiva Perdida

As empresas estão cada vez mais preocupadas com a espionagem corporativa no ciberespaço. A perda de propriedade intelectual para os concorrentes é uma séria preocupação. Uma grande preocupação adicional é a perda de confiança que ocorre quando uma empresa é incapaz de proteger os dados pessoais de seus clientes. A perda de vantagem competitiva pode resultar dessa perda de confiança em vez de outra empresa ou país roubar segredos comerciais.

Política e Segurança Nacional

Não são só as empresas que são hackeadas. Em fevereiro de 2016, um hacker publicou as informações pessoais de 20.000 funcionários do FBI (Federal Bureau of Investigation) dos EUA e 9.000 funcionários do Departamento de Segurança Interna (DHS) dos EUA. O hacker estava aparentemente motivado politicamente.

O worm Stuxnet foi projetado especificamente para impedir o progresso do Irã no enriquecimento de urânio que poderia ser usado em uma arma nuclear. Stuxnet é um excelente exemplo de um ataque de rede motivado por preocupações de segurança nacional. A guerra cibernética é uma possibilidade séria. Guerreiros hackers apoiados pelo Estado podem causar interrupção e destruição de serviços e recursos vitais dentro de uma nação inimiga. A Internet tornou-se essencial como meio de atividades comerciais e financeiras. A interrupção dessas atividades pode devastar a economia de uma nação. Controladores, semelhantes aos atacados por Stuxnet, também são usados para controlar o fluxo de água nas barragens e a troca de eletricidade na rede elétrica. Ataques a tais controladores podem ter consequências terríveis.

O que aprendi neste módulo?

  • Histórias de guerra

Os atores de ameaças podem sequestrar sessões bancárias e outras informações pessoais usando hotspots “gêmeos malvados”. Os atores de ameaças podem segmentar empresas, como no exemplo em que abrir um pdf no computador da empresa pode instalar ransomware. Nações inteiras podem ser alvo. Isso ocorreu no ataque de malware Stuxnet.

  • Agentes da ameaça

Os atores de ameaças incluem, entre outros, amadores, hacktivistas, grupos do crime organizado, patrocinados pelo Estado e grupos terroristas. O amador pode ter pouca ou nenhuma habilidade e muitas vezes usar informações encontradas na internet para lançar ataques. Hacktivistas são hackers que protestam contra uma variedade de ideias políticas e sociais. Grande parte da atividade de hacking é motivada pelo ganho financeiro. Os Estados-nação estão interessados em usar o ciberespaço para espionagem industrial. O roubo de propriedade intelectual pode dar a um país uma vantagem significativa no comércio internacional. À medida que a Internet das Coisas (IoT) se expande, webcams, roteadores e outros dispositivos em nossas casas também estão sob ataque.

  • Impacto de ameaça

Estima-se que as empresas percam mais de US$5 trilhões por ano até 2024 devido a ataques cibernéticos. As informações de identificação pessoal (PII), as informações de saúde protegidas (PHI) e as informações de segurança pessoal (PSI) são formas de informações protegidas que muitas vezes são roubadas. Uma empresa pode perder sua vantagem competitiva quando essas informações são roubadas, incluindo segredos comerciais. Além disso, os clientes perdem a confiança na capacidade da empresa de proteger seus dados. Os governos também foram vítimas de pirataria.

O Centro de Operações de Segurança Moderno

  • Elementos de um SOC

A defesa contra as ameaças atuais requer uma abordagem formalizada, estruturada e disciplinada. Normalmente, as organizações usam os serviços de profissionais em um Centro de Operações de Segurança (SOC). Os SOCs oferecem uma ampla gama de serviços, desde monitoramento e gerenciamento até soluções abrangentes de ameaças e segurança hospedada que podem ser personalizadas para atender às necessidades dos clientes. Os SOCs podem ser totalmente internos, de propriedade e operados por uma empresa, ou elementos de um SOC podem ser contratados a fornecedores de segurança, como os [Managed Security Services] (http://www.cisco.com/c/en/us/products/security/managed-services.html) da Cisco.

Como ilustrado na figura, os principais elementos de um SOC, são pessoas, processos e tecnologias.

Pessoas no SOC

As funções de trabalho em um SOC estão evoluindo rapidamente. Tradicionalmente, os SOCs atribuem funções de trabalho por níveis, de acordo com a experiência e as responsabilidades necessárias para cada um. Os trabalhos de primeiro nível são mais de nível inicial, enquanto os empregos de terceiro nível exigem ampla experiência.

  • Analista de Alerta de Nível 1

Esses profissionais monitoram alertas recebidos, verificam se um incidente verdadeiro ocorreu e encaminham tickets para o Nível 2, se necessário.

  • Respondente a Incidentes de Nível 2

Esses profissionais são responsáveis pela investigação aprofundada de incidentes e aconselham a correção ou a ação a serem tomadas.

  • Caçador de Ameaças de Nível 3

Esses profissionais possuem habilidades de nível especializado em rede, endpoint, inteligência contra ameaças e engenharia reversa de malware. Eles são especialistas em rastrear os processos do malware para determinar seu impacto e como ele pode ser removido. Eles também estão profundamente envolvidos na busca de ameaças potenciais e na implementação de ferramentas de detecção de ameaças. Os caçadores de ameaças buscam ameaças cibernéticas presentes na rede, mas ainda não foram detectadas.

  • Gerente SOC

Este profissional gerencia todos os recursos do SOC e serve como ponto de contato para a organização ou cliente maior.

Este curso oferece preparação para uma certificação adequada para o cargo de Analista de Alerta de Nível 1, também conhecido como Analista de Segurança Cibernética ou CyberOps Associate.

Processo no SOC

O dia de um analista de segurança cibernética geralmente começa com o monitoramento de filas de alertas de segurança. Um sistema de emissão de tíquetes é freqüentemente usado para atribuir alertas a uma fila para que um analista investigue. Como o software que gera alertas pode acionar alarmes falsos, um trabalho do analista de segurança cibernética pode ser verificar se um alerta representa um verdadeiro incidente de segurança. Quando a verificação for estabelecida, o incidente pode ser encaminhado aos investigadores ou a outro pessoal de segurança para ser tratado. Caso contrário, o alerta pode ser descartado como um alarme falso.

Se um tíquete não puder ser resolvido, o Analista de segurança cibernética encaminhará o tíquete para um Respondente de Incidente de Nível 2 para uma investigação e correção mais aprofundadas. Se o Respondente a Incidentes não puder resolver o tíquete, ele será encaminhado para o pessoal do Nível 3 com conhecimento profundo e habilidades de caça a ameaças.

Tecnologias no SOC: SIEM

Como mostrado na figura, um SOC precisa de um SIEM (Security Information and Event Management System, sistema de gerenciamento de eventos e informações de segurança) ou seu equivalente. O SIEM faz sentido de todos os dados gerados por firewalls, dispositivos de rede, sistemas de detecção de intrusões e outros dispositivos.

Os sistemas SIEM são usados para coletar e filtrar dados, detectar e classificar ameaças e analisar e investigar ameaças. Os sistemas SIEM também podem gerenciar recursos para implementar medidas preventivas e lidar com ameaças futuras. As tecnologias SOC incluem um ou mais dos seguintes:

  • Coleta, correlação e análise de eventos
  • Monitoramento da segurança
  • Controle de segurança
  • Gerenciamento de logs
  • Avaliação de vulnerabilidade
  • Controle de vulnerabilidades
  • Inteligência de ameaças

Tecnologias no SOC: SOAR

SIEM e orquestração de segurança, automação e resposta (SOAR) são frequentemente emparelhados, pois possuem recursos que se complementam.

Grandes equipes de operações de segurança (SecOps) usam ambas as tecnologias para otimizar seu SOC. Estima-se que 15% das organizações com uma equipe de segurança de mais de cinco pessoas utilizarão o SOAR até o final de 2020.

As plataformas SOAR são semelhantes às SIEMs na medida em que agregam, correlacionam e analisam alertas. No entanto, a tecnologia SOAR vai um passo além integrando inteligência contra ameaças e automatizando os fluxos de trabalho de investigação e resposta de incidentes com base em manuais desenvolvidos pela equipe de segurança.

Plataformas de segurança SOAR:

  • Reunir dados de alarme de cada componente do sistema.
  • Fornecer ferramentas que permitam que os casos sejam pesquisados, avaliados e investigados.
  • Enfatizar a integração como um meio de automatizar fluxos de trabalho complexos de resposta a incidentes que permitem respostas mais rápidas e estratégias de defesa adaptativas.
  • Incluir playbooks predefinidos que permitem a resposta automática a ameaças específicas. Os playbooks podem ser iniciados automaticamente com base em regras predefinidas ou podem ser acionados pelo pessoal de segurança.

SOAR enfatiza ferramentas de integração e automação de fluxos de trabalho SOC. Ele orquestra muitos processos manuais, como a investigação de alertas de segurança, que exigem apenas intervenção humana quando necessário. Isso libera o pessoal de segurança para lidar com questões mais urgentes e investigação de ponta e remediação de ameaças. A futura adoção de plataformas SOAR sofisticadas retornará as operações SOC e as funções de trabalho.

Os sistemas SIEM produzem necessariamente mais alertas do que a maioria das equipes de SECops pode investigar de forma realista, a fim de capturar de forma conservadora o maior número possível de explorações potenciais. A SOAR processará muitos desses alertas automaticamente e permitirá que o pessoal de segurança se concentre em explorações mais complexas e potencialmente prejudiciais.

Métricas SOC

Um SOC é extremamente importante para a segurança de uma organização. Independentemente de o SOC ser interno a uma organização ou fornecer serviços a várias organizações, é importante entender o quão bem o SOC está funcionando para que possam ser feitas melhorias nas pessoas, processos e tecnologias que compõem o SOC.

Muitas métricas ou indicadores chave de desempenho (KPI) podem ser projetadas para medir diferentes aspectos específicos do desempenho do SOC. No entanto, cinco métricas são comumente usadas como métricas SOC. Observe, no entanto, que as métricas que descrevem o desempenho geral freqüentemente não apresentam uma imagem precisa da operação SOC devido à diversidade de ameaças à segurança cibernética. Várias métricas comuns compiladas pelos gerentes de SOC são:

  • Tempo de permanência — o período de tempo que os atores da ameaça têm acesso a uma rede antes de serem detectados e seu acesso é interrompido.
  • Tempo médio para detectar (MTTD) — o tempo médio que o pessoal do SOC leva para identificar incidentes de segurança válidos ocorreu na rede.
  • Tempo médio para responder (MTTR) — o tempo médio necessário para parar e corrigir um incidente de segurança.
  • Tempo médio para conter (MTTC) — o tempo necessário para impedir que o incidente cause mais danos aos sistemas ou dados.
  • Tempo de controle — o tempo necessário para impedir a propagação de malware na rede.

Segurança corporativa e gerenciada

Para redes de médio e grande porte, a organização se beneficiará com a implementação de um SOC de nível empresarial. O SOC pode ser uma solução interna completa. No entanto, muitas organizações maiores terceirizarão pelo menos parte das operações SOC para um provedor de soluções de segurança.

A Cisco tem uma equipe de especialistas que ajudam a garantir a resolução de incidentes oportuna e precisa. A Cisco oferece uma ampla variedade de recursos de resposta, preparação e gerenciamento a incidentes, incluindo:

  • Serviço Cisco Smart Net Total Care para Resolução Rápida de Problemas;
  • Equipe de resposta a incidentes de segurança do produto (PSIRT) da Cisco;
  • Equipe de resposta a incidentes de segurança de computadores da Cisco (CSIRT);
  • Serviços Gerenciados Cisco;
  • Operações Táticas Cisco (TacOps);
  • Programa de Segurança Física e Segurança da Cisco.

Segurança versus disponibilidade

A maioria das redes empresariais deve estar em funcionamento o tempo todo. A equipe de segurança entende que, para que a organização cumpra suas prioridades, a disponibilidade da rede deve ser preservada.

Cada empresa ou setor tem uma tolerância limitada para o tempo de inatividade da rede. Essa tolerância é geralmente baseada em uma comparação do custo do tempo de inatividade em relação ao custo de garantia contra o tempo de inatividade. Por exemplo, em uma pequena empresa de varejo com apenas um local, pode ser tolerável ter um roteador como um único ponto de falha. No entanto, se uma grande parte das vendas dessa empresa for de compradores on-line, o proprietário pode decidir fornecer um nível de redundância para garantir que uma conexão esteja sempre disponível.

O tempo de atividade preferencial geralmente é medido no número de minutos de inatividade em um ano, conforme mostrado na tabela. Por exemplo, um tempo de atividade de “cinco noves” significa que a rede está acima de 99,999% do tempo ou inativa por não mais de 5 minutos por ano. “Quatro noves” seria um tempo de inatividade de 53 minutos por ano.

Disponibilidade % Tempo de inatividade
99.8% 17,52 horas
99,9% (“três noves”) 8,76 horas
99,99% (“quatro noves”) 52,56 minutos
99,999% (“cinco noves”) 5.256 minutos
99,9999% (“seis noves “) 31,56 segundos
99,99999% (“sete noves “) 3,16 segundos

No entanto, a segurança não pode ser tão forte que interfira com as necessidades dos funcionários ou funções empresariais. É sempre um tradeoff entre forte segurança e permitir um funcionamento eficiente dos negócios.

Tornando-se um Defensor

  • Certificações

Uma variedade de certificações de segurança cibernética que são relevantes para carreiras em SOCs estão disponíveis em várias organizações diferentes.

  • Cisco Certified CyberOps Associate

A certificação Cisco Certified CyberOps Associate fornece um primeiro passo valioso na aquisição do conhecimento e das habilidades necessárias para trabalhar com uma equipe de SOC. Pode ser uma parte valiosa de uma carreira no campo empolgante e crescente das operações de segurança cibernética.

  • Certificação de analista de segurança cibernética CompTIA

A certificação CompTIA Cybersecurity Analyst (CySA+) é uma certificação profissional de TI neutra no fornecedor. Ele valida o conhecimento e as habilidades necessárias para configurar e usar ferramentas de detecção de ameaças, realizar análises de dados, interpretar os resultados para identificar vulnerabilidades, ameaças e riscos para uma organização. O objetivo final é a capacidade de proteger e proteger aplicativos e sistemas dentro de uma organização.

  • (ISC)² Certificações de segurança da informação

(ISC)² é uma organização internacional sem fins lucrativos que oferece a altamente aclamada certificação CISSP. Eles oferecem uma gama de outras certificações para várias especialidades em segurança cibernética.

  • Certificação Global de Garantia de Informações (GIAC)

A GIAC, fundada em 1999, é uma das mais antigas organizações de certificação de segurança. Oferece uma ampla gama de certificações em sete categorias.

  • Outras Certificações Relacionadas à Segurança

Pesquise por “certificações de segurança cibernética” na Internet para encontrar informações sobre outros fornecedores e certificações independentes de fornecedores.

Aprofundar meus conhecimentos

Graus

Qualquer pessoa que considere uma carreira no campo da segurança cibernética deve considerar seriamente a obtenção de um diploma técnico ou bacharel em ciência da computação, engenharia elétrica, tecnologia da informação ou segurança da informação. Muitas instituições de ensino oferecem trilhas e certificações especializadas relacionadas à segurança.

  • Programação em Python

A programação de computadores é uma habilidade essencial para quem deseja seguir uma carreira em segurança cibernética. Se você nunca aprendeu a programar, então Python pode ser a primeira língua a aprender. Python é uma linguagem de código aberto orientada a objetos que é rotineiramente usada por analistas de segurança cibernética. É também uma linguagem de programação popular para sistemas baseados em Linux e redes definidas por software (SDN).

  • Habilidades Linux

Linux é amplamente utilizado em SOCs e outros ambientes de rede e segurança. As habilidades do Linux são uma adição valiosa ao seu conjunto de habilidades enquanto você trabalha para desenvolver uma carreira em segurança cibernética.

Informações sobre carreira

Uma variedade de sites e aplicativos móveis anunciam empregos de tecnologia da informação. Cada site tem como alvo uma variedade de candidatos a empregos e fornece ferramentas diferentes para os candidatos pesquisarem sua posição de trabalho ideal. Muitos sites são agregadores de locais de trabalho. Os agregadores de sites de empregos reúnem listas de outros quadros de empregos e sites de carreiras de empresas e as exibem em um único local.

  • Indeed.com

Anunciado como o site de empregos número 1 do mundo, o Indeed.com atrai mais de 180 milhões de visitantes únicos por mês de mais de 50 países diferentes. Indeed.com é verdadeiramente um site de empregos mundial. Ajuda empresas de todos os tamanhos a contratar os melhores talentos e oferece a melhor oportunidade para quem procura emprego.

  • CareerBuilder.com

O CareerBuilder atende a muitas empresas grandes e de prestígio. Como resultado, esse site atrai candidatos específicos que normalmente têm mais educação e credenciais mais altas. Os empregadores que postam no CareerBuilder geralmente obtêm mais candidatos com diplomas universitários, credenciais avançadas e certificações do setor.

  • USAJobs.gov

O governo federal dos Estados Unidos publica todas as vagas no site USAJobs.

  • Glassdoor

O site glassdoor.com fornece informações salariais para diferentes tipos de trabalho, empresas e locais. Procure por “analista de segurança cibernética” para ver os salários e os requisitos para as vagas atuais.

  • LinkedIn

O LinkedIn é uma rede profissional de mais de 630 milhões de usuários em mais de 150 países com a missão de ajudar as pessoas a serem mais produtivas e bem-sucedidas. O LinkedIn também é uma ótima fonte de informações sobre carreira e oportunidades de emprego.

Obtendo Experiência

  • Estágios

Os estágios são um excelente método para entrar no campo de segurança cibernética. Às vezes, os estágios se transformam em uma oferta de emprego em tempo integral. No entanto, mesmo um estágio temporário permite que você ganhe experiência no funcionamento interno de uma organização de segurança cibernética. Os contatos que você faz durante um estágio também podem ser um recurso valioso à medida que você continua sua carreira. Pesquise na internet os melhores sites para localizar estágios de segurança de rede.

  • Bolsas e Prêmios

Para ajudar a eliminar a lacuna nas habilidades de segurança, organizações como a Cisco e a INFOSEC introduziram programas de bolsas e prêmios que fornecem dinheiro aos alunos que atendem aos requisitos de qualificação. Pesquise na internet para descobrir oportunidades que são oferecidas atualmente.

  • Agências Temporárias

Se você está tendo dificuldades para encontrar seu primeiro emprego, uma agência temporária pode ser um ótimo lugar para começar. A maioria das agências temporárias irá ajudá-lo a polir o seu currículo e fazer recomendações sobre habilidades adicionais que você pode precisar obter para se tornar mais atraente para potenciais empregadores.

Muitas organizações usam agências temporárias para preencher vagas nos primeiros 90 dias. Então, se o funcionário for compatível, a organização pode se oferecer para comprar o contrato da agência temporária, convertendo o funcionário para um cargo permanente de tempo integral.

  • Seu Primeiro Trabalho

Se você não tem experiência no campo de segurança cibernética, provavelmente procurará uma empresa que esteja disposta a treiná-lo para uma posição semelhante a um analista de nível 1. Trabalhar para um call center ou suporte técnico pode ser o primeiro passo para obter a experiência de que você precisa para seguir em frente em sua carreira.

Quanto tempo você deve ficar no seu primeiro emprego? Geralmente, você quer passar por um ciclo de revisão completo antes de sair de uma empresa. Ou seja, você normalmente quer fazer isso durar 18 meses. Os potenciais empregadores normalmente vão querer saber se você atendeu ou excedeu as expectativas em seus empregos atuais ou passados.

Resumo dos Lutadores na Guerra Contra o Cibercrime

O que aprendi neste módulo?

  • O Centro de Operações de Segurança Moderno

Os principais elementos do SOC incluem pessoas, processos e tecnologias. As funções de trabalho estão evoluindo rapidamente e incluem níveis baseados em conhecimento e experiência. Essas funções incluem um Analista de Alerta de Nível 1, um Respondente de Incidentes de Nível 2, um Caçador de Ameaças de Nível 3 e um Gerente SOC. Um analista de nível 1 monitorará incidentes, abrirá tickets e realizará a mitigação de ameaças básicas.

Os sistemas SEIM são usados para coletar e filtrar dados, detectar e classificar ameaças e analisar e investigar ameaças. SEIM e SOAR costumam ser emparelhados. SOAR é semelhante ao SIEM. O SOAR vai um passo além ao integrar inteligência de ameaças e automatizar a investigação de incidentes e fluxos de trabalho de resposta com base em manuais desenvolvidos pela equipe de segurança. Os principais indicadores de desempenho (KPI) são elaborados para medir diferentes aspectos do desempenho do SOC. As métricas comuns incluem Tempo de espera, Tempo médio para detectar (MTTD), Tempo médio para responder (MTTR), Tempo médio para conter (MTTC) e Tempo para controlar.

Deve haver um equilíbrio entre segurança e disponibilidade das redes. A segurança não pode ser tão forte a ponto de interferir nos funcionários ou nas funções de negócios.

  • Tornando-se um Defensor

Uma variedade de certificações de cibersegurança que são relevantes para carreiras em SOCs estão disponíveis em diferentes organizações. Eles incluem Cisco Certified CyberOps Associate, CompTIA Cybersecurity Analyst Certification, (ISC) 2 Information Security Certifications, Global Information Assurance Certification (GIAC) e outros. Os sites de empregos incluem Even.com, CareerBuilder.com, USAJobs.gov, Glassdoor e LinkedIn. Você também pode considerar estágios e agências de trabalho temporário para ganhar experiência e começar sua carreira. Além disso, as habilidades de programação em Linux e Python aumentarão sua atratividade no mercado de trabalho.

Histórico do Windows

  • Sistema operacional de disco

Os primeiros computadores não tinham dispositivos de armazenamento modernos, como discos rígidos, unidades ópticas ou armazenamento flash. Os primeiros métodos de armazenamento usavam cartões perfurados, fita de papel, fita magnética e até cassetes de áudio.

Disquetes e armazenamento em disco rígido exigem software para ler, gravar e gerenciar os dados que eles armazenam. O sistema operacional de disco (DOS) é um sistema operacional que o computador usa para habilitar esses dispositivos de armazenamento de dados para ler e gravar arquivos. DOS fornece um sistema de arquivos que organiza os arquivos de uma forma específica no disco. A Microsoft comprou o DOS e desenvolveu o MS-DOS.

MS-DOS usou uma linha de comando como a interface para as pessoas criarem programas e manipularem arquivos de dados, como mostrado na saída do comando. Os comandos DOS são mostrados em negrito.

Starting MS-DOS…
HIMEM is testing extended memory… done.
C:\> C:\DOS\SMARTDRV.EXE /X
C:\> dir
Volume in drive C is MS-DOS_6
Volume Serial Number is 4006-6939
Directory of C:\
DOS <DIR> 05-06-17 1:09p
COMMAND COM 54,645 05-31-94 6:22a
WINA20 386 9,349 05-31-94 6:22a
CONFIG SYS 71 05-06-17 1:10p
AUTOEXEC BAT 78 05-06-17 1:10p
5 file(s) 64,143 bytes
517,021,696 bytes free
C:\>

Com o MS-DOS, o computador tinha um conhecimento básico de trabalho de como acessar a unidade de disco e carregar os arquivos do sistema operacional diretamente do disco como parte do processo de inicialização. Quando ele foi carregado, o MS-DOS poderia acessar facilmente o disco porque ele foi incorporado no sistema operacional.

As primeiras versões do Windows consistiam em uma interface gráfica do usuário (GUI) que executava o MS-DOS, começando com o Windows 1.0 em 1985. O DOS ainda controlava o computador e seu hardware. Um sistema operacional moderno como o Windows 10 não é considerado um sistema operacional de disco. Ele é construído no Windows NT, que significa “Novas Tecnologias”. O próprio sistema operacional está no controle direto do computador e seu hardware. NT é um sistema operacional com suporte para vários processos de usuário. Isso é muito diferente do MS-DOS de um único processo e de usuário único.

Hoje, muitas coisas que costumavam ser realizadas através da interface de linha de comando do MS-DOS podem ser realizadas na GUI do Windows. Você ainda pode experimentar como era usar o MS-DOS abrindo uma janela de comando, mas o que você vê não é mais MS-DOS, é uma função do Windows. Para experimentar um pouco do que era trabalhar no MS-DOS, abra uma janela de comando digitando cmd na Pesquisa do Windows e pressionando Enter. A tabela lista alguns comandos que você pode usar. Digite help seguido do comando para saber mais sobre o comando.

Comando MS-DOS Descrição
dir Mostra uma lista de todos os arquivos no diretório atual (pasta)
cd diretório Altera o diretório para o diretório indicado
cd .. Muda o diretório para o diretório acima do diretório atual
cd \ Muda o diretório para o diretório raiz (geralmente C:)
copy fonte de destino Copia arquivos para outro local
del nome do arquivo Exclui um ou mais arquivos.
find Procura texto em arquivos
mkdir diretório Cria um novo diretório.
ren nome_antigo nome_novo Renomeia um arquivo
help Exibe todos os comandos que podem ser usados, com uma breve descrição
help comando Exibe a ajuda extensa para o comando indicado

Atividade da Classe - Identificar Processos em Execução

Nesta atividade, você usará o TCP/UDP Endpoint Viewer, que é uma ferramenta no Windows Sysinternals Suite, para identificar processos em execução no computador.

  • Parte 1: Baixe o Windows Sysinternals Suite.
  1. Navegue até o link a seguir para baixar o Windows Sysinternals Suite: https://technet.microsoft.com/en-us/sysinternals/bb842062.aspx
  2. Após a conclusão do download, clique com o botão direito do mouse no arquivo zip e escolha Extrair tudo…, para extrair os arquivos da pasta. Escolha o nome e o destino padrão na pasta Downloads e clique em Extrair.
  3. Saia do navegador da Web.
  • Parte 2: Inicie TCP/UDP Endpoint Viewer.
  1. Navegue até a pasta SysInternalsSuite com todos os arquivos extraídos.
  2. Abra Tcpview.exe. Aceite o Contrato de Licença do Process Explorer quando solicitado. Clique em Sim para permitir que este aplicativo faça alterações em seu dispositivo.
  3. Saia do Explorer e feche todas as aplicações atualmente em execução.
  • Parte 3: Explore os processos em execução.
  1. O TCPView lista o processo que está atualmente no seu PC Windows. Neste momento, apenas os processos do Windows estão em execução.
  2. Dê um clique duplo lsass.exe.

Pergunta: O que é lsass.exe? Em que pasta ele está localizado?

  1. Feche a janela de propriedades para lsass.exe quando terminar.
  2. Exiba as propriedades dos outros processos em execução.

Observação: Nem todos os processos podem ser consultados para obter informações sobre propriedades.

  • Parte 4: Explore um processo iniciado pelo usuário.
  1. Abra um navegador da Web, como o Microsoft Edge.

O que você observou na janela do TCPView?

Versões do Windows

Desde 1993, houve mais de 20 lançamentos do Windows que são baseados no sistema operacional NT. A maioria dessas versões era para uso pelo público em geral e pelas empresas devido à segurança de arquivos oferecida pelo sistema de arquivos usado pelo sistema operacional NT. As empresas também adotaram sistemas operacionais Windows baseados em SO NT. Isso ocorre porque muitas edições foram criadas especificamente para estações de trabalho, profissionais, servidores, servidores avançados e servidores de datacenter, para citar apenas algumas das muitas versões criadas para fins específicos.

A partir do Windows XP, uma edição de 64 bits estava disponível. O sistema operacional de 64 bits era uma arquitetura totalmente nova. Ele tinha um espaço de endereço de 64 bits em vez de um espaço de endereço de 32 bits. Isto não é simplesmente o dobro da quantidade de espaço porque estes bits são números binários. Embora o Windows de 32 bits possa endereçar um pouco menos de 4 GB de RAM, o Windows de 64 bits pode, teoricamente, endereçar 16,8 milhões de terabytes. Quando o sistema operacional e o hardware suportam a operação de 64 bits, conjuntos de dados extremamente grandes podem ser usados. Esses grandes conjuntos de dados incluem bancos de dados muito grandes, computação científica e manipulação de vídeo digital de alta definição com efeitos especiais. Em geral, computadores e sistemas operacionais de 64 bits são compatíveis com programas mais antigos de 32 bits, mas programas de 64 bits não podem ser executados em hardware mais antigo de 32 bits.

Com cada versão subsequente do Windows, o sistema operacional tornou-se mais refinado ao incorporar mais recursos. O Windows 7 foi oferecido com seis edições diferentes, o Windows 8 com até cinco e o Windows 10 com oito edições diferentes! Cada edição não só oferece diferentes capacidades, mas também diferentes pontos de preço. A Microsoft disse que o Windows 10 é a última versão do Windows, e que o Windows se tornou um serviço em vez de apenas um sistema operacional. Eles dizem que, em vez de comprar novos sistemas operacionais, os usuários apenas atualizarão o Windows 10 em vez disso.

A tabela lista versões comuns do Windows.

SO Versões
Windows 7 Starter, Home Basic, Home Premium, Professional, Enterprise, Ultimate
Windows Server 2008 R2 Foundation, Standard, Enterprise, Datacenter, Web Server, HPC Server, Itanium-Based Systems
Windows Home Server 2011 Nenhum
Windows 8 Windows 8, Windows 8 Pro, Windows 8 Enterprise, Windows RT
Windows Server 2012 Foundation, Essentials, Standard, Datacenter
Windows 8.1 Windows 8.1, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows RT 8.1
Windows Server 2012 R2 Foundation, Essentials, Standard, Datacenter
Windows 10 Home, Pro, Pro Education, Enterprise, Education, loT Core, Mobile, Mobile Enterprise
Windows Server 2016 Essentials, Standard, Datacenter, Multipoint Premium Server, Storage Server, Hyper-V Server

GUI do Windows

O Windows tem uma interface gráfica do usuário (GUI) para que os usuários trabalhem com arquivos de dados e software. A GUI tem uma área principal que é conhecida como Área de Trabalho, mostrada na figura.

A área de trabalho pode ser personalizada com várias cores e imagens de fundo. O Windows suporta vários usuários, para que cada usuário possa personalizar a Área de Trabalho ao seu gosto. A Área de Trabalho pode armazenar arquivos, pastas, atalhos para locais e programas e aplicativos. A área de trabalho também tem um ícone de lixeira, onde os arquivos são armazenados quando o usuário os exclui. Os arquivos podem ser restaurados da lixeira ou a lixeira pode ser esvaziada de arquivos, o que realmente os exclui.

Na parte inferior da área de trabalho está a Barra de Tarefas. A Barra de Tarefas tem três áreas que são usadas para diferentes fins. À esquerda está o menu Iniciar. Ele é usado para acessar todos os programas instalados, opções de configuração e o recurso de pesquisa. No centro da Barra de Tarefas, os usuários colocam ícones de inicialização rápida que executam programas específicos ou abrem pastas específicas quando clicam. Finalmente, à direita da barra de tarefas está a área de notificação. A área de notificação mostra, em resumo, a funcionalidade de muitos programas e recursos diferentes. Por exemplo, um ícone de envelope intermitente pode indicar um novo e-mail ou um ícone de rede com um “x” vermelho pode indicar um problema com a rede.

Muitas vezes, clicar com o botão direito do mouse em um ícone trará funções adicionais que podem ser usadas. Esta lista é conhecida como um Menu de Contexto, mostrado na figura.

Há Menus de Contexto para os ícones na área de notificação, para ícones de inicialização rápida, ícones de configuração do sistema e para arquivos e pastas. O Menu de Contexto fornece muitas das funções mais comumente usadas com apenas um clique. Por exemplo, o Menu de Contexto de um arquivo conterá itens como copiar, excluir, compartilhar e imprimir. Para abrir pastas e manipular arquivos, o Windows usa o Explorador de Arquivos do Windows.

Vulnerabilidades do sistema operacional

Os sistemas operacionais consistem em milhões de linhas de código. O software instalado também pode conter milhões de linhas de código. Com todo esse código vem vulnerabilidades. Uma vulnerabilidade é alguma falha ou fraqueza que pode ser explorada por um invasor para reduzir a viabilidade das informações de um computador. Para tirar proveito de uma vulnerabilidade do sistema operacional, o invasor deve usar uma técnica ou uma ferramenta para explorar a vulnerabilidade. O invasor pode então usar a vulnerabilidade para fazer com que o computador atue de forma fora do design pretendido. Em geral, o objetivo é obter controle não autorizado do computador, alterar permissões ou manipular ou roubar dados.

A tabela lista algumas recomendações comuns de Segurança do SO Windows.

Recomendação Descrição
Proteção contra vírus ou malware Por padrão, o Windows usa o Windows Defender para proteção contra malware.
O Windows Defender fornece um conjunto de ferramentas de proteção incorporadas ao sistema.
Se o Windows Defender estiver desativado, o sistema ficará mais vulnerável a ataques e malware.
Serviços desconhecidos ou não gerenciados Há muitos serviços que funcionam nos bastidores.
É importante certificar-se de que cada serviço é identificável e seguro.
Com um serviço desconhecido em execução em segundo plano, o computador pode ficar vulnerável a ataques.
Criptografia Quando os dados não são criptografados, eles podem ser facilmente coletados e explorados.
Isso não é importante apenas para computadores desktop, mas especialmente dispositivos móveis.
Política de segurança Uma boa política de segurança deve ser configurada e seguida.
Muitas configurações no controle de Diretiva de Segurança do Windows podem impedir ataques.
Firewall Por padrão, o Windows usa o Firewall do Windows para limitar a comunicação com dispositivos na rede.
Com o tempo, as regras podem não se aplicar mais.
Por exemplo, uma porta pode ser deixada aberta que não deve mais estar prontamente disponível.
É importante revisar periodicamente as configurações do firewall para garantir que as regras ainda são aplicáveis e remover as que não se aplicam mais.
Permissões de arquivo e compartilhamento Essas permissões devem ser definidas corretamente.
É fácil dar ao grupo “Todos” Controle Total, mas isso permite que todas as pessoas façam o que quiserem a todos os arquivos.
É melhor fornecer a cada usuário ou grupo as permissões mínimas necessárias para todos os arquivos e pastas.
Senha fraca ou sem senha Muitas pessoas escolhem senhas fracas ou não usam nenhuma senha.
É especialmente importante certificar-se de que todas as contas, especialmente a conta de Administrador, têm uma senha muito forte.
Login como Administrador Quando um usuário faz logon como administrador, qualquer programa executado terá os privilégios dessa conta.
É melhor fazer login como um Usuário Padrão e usar apenas a senha de administrador para realizar determinadas tarefas.

Arquitetura e operações do Windows

Camada de abstração de hardware

Computadores Windows usam muitos tipos diferentes de hardware. O sistema operacional pode ser instalado em um computador comprado ou em um computador que é montado pelo usuário. Quando o sistema operacional está instalado, ele deve ser isolado das diferenças no hardware. A arquitetura básica do Windows é mostrada na figura.

Modo de usuário e modo kernel

Conforme identificado na figura, existem dois modos diferentes em que uma CPU opera quando o computador tem o Windows instalado: o modo de usuário e o modo kernel.

Os aplicativos instalados são executados no modo de usuário e o código do sistema operacional é executado no modo kernel. O código que está sendo executado no modo kernel tem acesso irrestrito ao hardware subjacente e é capaz de executar qualquer instrução de CPU. O código do modo kernel também pode referenciar qualquer endereço de memória diretamente. Geralmente reservado para as funções mais confiáveis do sistema operacional, falhas no código em execução no modo kernel param a operação de todo o computador. Por outro lado, programas como aplicativos de usuário são executados no modo de usuário e não têm acesso direto a locais de hardware ou memória. O código do modo de usuário deve passar pelo sistema operacional para acessar recursos de hardware. Devido ao isolamento fornecido pelo modo de usuário, as falhas no modo de usuário são restritas apenas ao aplicativo e são recuperáveis. A maioria dos programas no Windows são executados no modo de usuário. Drivers de dispositivo, peças de software que permitem que o sistema operacional e um dispositivo se comuniquem, podem ser executados no modo kernel ou usuário, dependendo do driver.

Todo o código que é executado no modo kernel usa o mesmo espaço de endereço. Os drivers de modo kernel não têm isolamento do sistema operacional. Se ocorrer um erro com o driver em execução no modo kernel e ele gravar no espaço de endereço errado, o sistema operacional ou outro driver de modo kernel pode ser afetado negativamente. A este respeito, o driver pode falhar, fazendo com que todo o sistema operacional falhe.

Quando o código de modo de usuário é executado, ele é concedido seu próprio espaço de endereço restrito pelo kernel, juntamente com um processo criado especificamente para o aplicativo. A razão para essa funcionalidade é principalmente para impedir que aplicativos alterem o código do sistema operacional que está sendo executado ao mesmo tempo. Ao ter seu próprio processo, esse aplicativo tem seu próprio espaço de endereço privado, tornando outros aplicativos incapazes de modificar os dados nele. Isso também ajuda a evitar que o sistema operacional e outros aplicativos falhe se esse aplicativo falhar.

Sistemas de arquivos Windows

Um sistema de arquivos é como as informações são organizadas na mídia de armazenamento. Alguns sistemas de arquivos podem ser uma melhor opção para usar do que outros, dependendo do tipo de mídia que será usado. A tabela lista os sistemas de arquivos suportados pelo Windows.

  • exFAT
  1. Este é um sistema de arquivos simples suportado por muitos sistemas operacionais diferentes.
  2. O FAT tem limitações para o número de partições, tamanhos de partições e tamanhos de arquivo que pode resolver, portanto, não é mais usado para discos rígidos (HDs) ou unidades de estado sólido (SSDs).
  3. Tanto o FAT16 quanto o FAT32 estão disponíveis para uso, sendo o FAT32 o mais comum porque tem muito menos restrições do que o FAT16.
  • Sistema de Arquivos Hierárquico Plus (HFS+)
  1. Este sistema de arquivos é usado em computadores MAC OS X e permite nomes de arquivos, tamanhos de arquivo e tamanhos de partição muito mais longos do que os sistemas de arquivos anteriores.
  2. Embora não seja suportado pelo Windows sem software especial, o Windows é capaz de ler dados de partições HFS+.
  • Sistema de arquivos estendido (EXT)
  1. Este sistema de arquivos é usado com computadores baseados em Linux.
  2. Embora não seja suportado pelo Windows, o Windows é capaz de ler dados de partições EXT com software especial.
  • New Technology File System (NTFS)
  1. Este é o sistema de arquivos mais comumente usado ao instalar o Windows. Todas as versões do Windows e Linux suportam NTFS.
  2. Computadores Mac-OS X só podem ler uma partição NTFS. Eles são capazes de gravar em uma partição NTFS depois de instalar drivers especiais.

O NTFS é o sistema de arquivos mais utilizado para Windows por muitas razões. NTFS suporta arquivos e partições muito grandes e é muito compatível com outros sistemas operacionais. O NTFS também é muito confiável e oferece suporte a recursos de recuperação. Mais importante ainda, ele suporta muitos recursos de segurança. O controle de acesso a dados é alcançado através de descritores de segurança. Esses descritores de segurança contêm permissões e propriedade do arquivo até o nível do arquivo. O NTFS também controla muitos carimbos de data/hora para controlar a atividade do arquivo. Às vezes referido como MACE, os carimbos de data/hora Modificar, Access (acesso), Create (criar) e Entry Modified (entrada modificada) são frequentemente usados em investigações forenses para determinar o histórico de um arquivo ou pasta. O NTFS também suporta criptografia do sistema de arquivos para proteger toda a mídia de armazenamento.

Antes que um dispositivo de armazenamento, como um disco, possa ser usado, ele deve ser formatado com um sistema de arquivos. Por sua vez, antes que um sistema de arquivos possa ser colocado em prática em um dispositivo de armazenamento, o dispositivo precisa ser particionado. Um disco rígido é dividido em áreas denominadas partições. Cada partição é uma unidade lógica de armazenamento que pode ser formatada para armazenar informações, como arquivos de dados ou de aplicações. Durante o processo de instalação, a maioria dos sistemas operacionais particiona e formata automaticamente o espaço disponível na unidade com um sistema de arquivos como o NTFS.

A formatação NTFS cria estruturas importantes no disco para armazenamento de arquivos e tabelas para gravar os locais dos arquivos:

  • Setor de inicialização de partição - Este é o primeiro 16 setores da unidade. Ele contém o local da tabela de arquivos mestre (MFT). Os últimos 16 setores contêm uma cópia do setor de inicialização.
  • Tabela de arquivos mestre (MFT) - Esta tabela contém os locais de todos os arquivos e diretórios na partição, incluindo atributos de arquivo, como informações de segurança e carimbos de data/hora.
  • Arquivos de sistema - São arquivos ocultos que armazenam informações sobre outros volumes e atributos de arquivo.
  • Área de arquivo - A área principal da partição onde os arquivos e diretórios são armazenados.

Observação: Ao formatar uma partição, os dados anteriores ainda podem ser recuperáveis porque nem todos os dados são completamente removidos. O espaço livre pode ser examinado e os arquivos podem ser recuperados, o que pode comprometer a segurança. Recomenda-se executar um apagamento seguro em uma unidade que está sendo reutilizada. O apagamento seguro grava dados em toda a unidade várias vezes para garantir que não haja dados restantes.

Fluxos de dados alternativos

NTFS armazena arquivos como uma série de atributos, como o nome do arquivo ou um carimbo de data/hora. Os dados que o arquivo contém são armazenados no atributo $DATA, e é conhecido como um fluxo de dados. Usando NTFS, você pode conectar fluxos de dados alternativos (ADSs) ao arquivo. Às vezes, isso é usado por aplicativos que estão armazenando informações adicionais sobre o arquivo. O ADS é um fator importante ao discutir malware. Isso ocorre porque é fácil ocultar dados em um ADS. Um invasor pode armazenar código mal-intencionado dentro de um ADS que pode ser chamado de um arquivo diferente.

No sistema de arquivos NTFS, um arquivo com um ADS é identificado após o nome do arquivo e dois pontos, por exemplo, Testfile.txt:ADS. Esse nome de arquivo indica que um ADS chamado ADS está associado ao arquivo chamado Testfile.txt. Um exemplo de ADS é mostrado na saída do comando.

C:\ADS> echo “Alternate Data Here” > Testfile.txt:ADS
C:\ADS> dir
Volume in drive C is Windows
Volume Serial Number is A606-CB1B
Directory of C:\ADS
2020-04-28 04:01 PM <DIR> \ .
2020-04-28 04:01 PM <DIR> ..
2020-04-28 04:01 PM 0 Testfile.txt
1 File(s) 0 bytes
2 Dir(s) 43,509,571,584 bytes free
C:\ADS> more < Testfile.txt:ADS
“Alternate Data Here”
C:\ADS> dir /r
Volume in drive C is Windows
Volume Serial Number is A606-CB1B
Directory of C:\ADS
2020-04-28 04:01 PM <DIR> .
2020-04-28 04:01 PM <DIR> ..
2020-04-28 04:01 PM 0 Testfile.txt
24 Testfile.txt:ADS:$DATA ←—-
1 File(s) 0 bytes
2 Dir(s) 43,509,624,832 bytes free
C:\ADS>

Na saída:

  • O primeiro comando coloca o texto “Dados Alternativos Aqui” em um ADS do arquivo Testfile.txt chamado “ADS”.
  • Depois disso, dir, mostra que o arquivo foi criado, mas o ADS não está visível.
  • O próximo comando mostra que há dados no Testfile.txt * O último comando mostra o ADS do arquivo Testfile.txt porque a opção r dir foi usada com o.

Processo de Inicialização do Windows

Muitas ações ocorrem entre o momento em que o botão liga/desliga do computador é pressionado e o Windows está totalmente carregado, como mostrado na figura. Isso é conhecido como o processo de inicialização do Windows.

Existem dois tipos de firmware de computador:

  • Sistema básico de entrada-saída (BIOS) - o firmware do BIOS foi criado no início da década de 1980 e funciona da mesma forma que quando foi criado. À medida que os computadores evoluíram, tornou-se difícil para o firmware do BIOS suportar todos os novos recursos solicitados pelos usuários.
  • UEFI (Unified Extensible Firmware Interface) - O UEFI foi projetado para substituir o BIOS e suportar os novos recursos.

No firmware do BIOS, o processo começa com a fase de inicialização do BIOS. Isso ocorre quando os dispositivos de hardware são inicializados e um POST (Power On Self-Test) é executado para garantir que todos esses dispositivos estejam se comunicando. Quando o disco do sistema é descoberto, o POST termina. A última instrução no POST é procurar o registro mestre de inicialização (MBR).

A MBR contém um pequeno programa que é responsável por localizar e carregar o sistema operacional. O BIOS executa esse código e o sistema operacional começa a carregar.

Em contraste com o firmware do BIOS, o firmware UEFI tem muita visibilidade sobre o processo de inicialização. O UEFI inicializa carregando arquivos de programa EFI, armazenados como arquivos.efi em uma partição de disco especial, conhecida como EFI System Partition (ESP).

Nota: Um computador que usa UEFI armazena o código de inicialização no firmware. Isso ajuda a aumentar a segurança do computador no momento da inicialização porque o computador entra diretamente no modo protegido. Se o firmware é BIOS ou UEFI, depois que uma instalação válida do Windows é localizada, o arquivo Bootmgr.exe é executado. Bootmgr.exe alterna o sistema do modo real para o modo protegido para que toda a memória do sistema possa ser usada.

Bootmgr.exe lê o Banco de Dados de Configuração de Inicialização (BCD). O BCD contém qualquer código adicional necessário para iniciar o computador, juntamente com uma indicação de se o computador está saindo da hibernação ou se este é um arranque a frio. Se o computador estiver saindo da hibernação, o processo de inicialização continuará com Winresume.exe. Isso permite que o computador leia o arquivo Hiberfil.sys que contém o estado do computador quando ele foi colocado em hibernação.

Se o computador estiver sendo inicializado a partir de um início a frio, o arquivo Winload.exe será carregado. O arquivo Winload.exe cria um registro da configuração de hardware no registro. O registro é um registro de todas as configurações, opções, hardware e software do computador. O registro será explorado em profundidade mais adiante neste capítulo. Winload.exe também usa o Kernel Mode Code Signing (KMCS) para garantir que todos os drivers sejam assinados digitalmente. Isso garante que os drivers são seguros para carregar à medida que o computador é iniciado.

Depois que os drivers foram examinados, Winload.exe é executado Ntoskrnl.exe que inicia o kernel do Windows e configura o HAL. Finalmente, o Subsistema do Gestor de Sessões (SMSS) lê o registo para criar o ambiente do utilizador, iniciar o serviço Winlogon e preparar a área de trabalho de cada utilizador à medida que inicia sessão.

Inicialização do Windows

Há dois itens de registro importantes que são usados para iniciar automaticamente aplicativos e serviços:

HKEY\ _LOCAL\ _MACHINE Vários aspectos da configuração do Windows são armazenados nesta chave, incluindo informações sobre serviços que começam com cada inicialização.
HKEY\ _CURRENT\ _USER Vários aspectos relacionados ao usuário conectado são armazenados nesta chave, incluindo informações sobre serviços que iniciam somente quando o usuário faz logon no computador.

O registro será discutido mais adiante neste tópico.

Entradas diferentes nesses locais de registro definem quais serviços e aplicativos serão iniciados, conforme indicado pelo tipo de entrada. Esses tipos incluem Run, RunOnce, RunServices, RunServicesOnce e Userinit. Essas entradas podem ser inseridas manualmente no registro, mas é muito mais seguro usar a ferramenta Msconfig.exe Esta ferramenta é usada para exibir e alterar todas as opções de inicialização do computador. Use a caixa de pesquisa para localizar e abrir a ferramenta Msconfig.

A ferramenta Msconfig abre a janela Configuração do sistema. Existem cinco guias que contêm as opções de configuração.

Geral: Três tipos de inicialização diferentes podem ser escolhidos aqui. Normal carrega todos os drivers e serviços. O diagnóstico carrega apenas drivers e serviços básicos. Seletivo permite que o usuário escolha o que carregar na inicialização.

Inicialização do Sistema: Qualquer sistema operacional instalado pode ser escolhido aqui para iniciar. Existem também opções para a inicialização segura, que é usada para solucionar problemas de inicialização.

Serviços: Todos os serviços instalados estão listados aqui para que possam ser escolhidos para iniciar na inicialização.

Startup: Todos os aplicativos e serviços configurados para iniciar automaticamente na inicialização podem ser ativados ou desabilitados abrindo o gerenciador de tarefas a partir desta guia.

Ferramentas: Muitas ferramentas comuns do sistema operacional podem ser iniciadas diretamente a partir desta guia.

Desligamento do Windows

É sempre melhor executar um desligamento adequado para desligar o computador. Arquivos que são deixados abertos, serviços que são fechados fora de ordem e aplicativos que travam podem ser danificados se a energia for desligada sem primeiro informar o sistema operacional. O computador precisa de tempo para fechar cada aplicativo, desligar cada serviço e registrar quaisquer alterações de configuração antes que a energia seja perdida.

Durante o desligamento, o computador fechará os aplicativos do modo de usuário primeiro, seguido pelos processos do modo kernel. Se um processo de modo de usuário não responder dentro de um determinado período de tempo, o sistema operacional exibirá a notificação e permitirá que o usuário aguarde a aplicação responder ou encerre o processo forçosamente. Se um processo de modo kernel não responder, o desligamento parecerá travar e poderá ser necessário desligar o computador com o botão liga/desliga.

Existem várias maneiras de desligar um computador Windows: Opções de energia do menu Iniciar, o comando da linha de comando shutdown e usando Ctrl+Alt+Delete e clicando no ícone de energia. Existem três opções diferentes para escolher ao desligar o computador:

  • Desligamento - Desliga o computador (desliga).
  • Reiniciar - Reinicializa o computador (desligar e ligar).
  • Hibernate - Registra o estado atual do ambiente do computador e do usuário e o armazena em um arquivo. A hibernação permite que o usuário continue de onde parou muito rapidamente com todos os seus arquivos e programas ainda abertos.

Processos, Threads e Serviços

Um aplicativo do Windows é composto de processos. O aplicativo pode ter um ou muitos processos dedicados a ele. Um processo é qualquer programa em execução no momento. Cada processo que é executado é composto de pelo menos uma thread. Uma thread é uma parte do processo que pode ser executado. O processador executa cálculos na thread. Para configurar processos do Windows, procure o Gerenciador de Tarefas. A guia Processos do Gerenciador de Tarefas é mostrada na figura.

Todos os threads dedicados a um processo estão contidos no mesmo espaço de endereço. Isso significa que esses threads podem não acessar o espaço de endereço de qualquer outro processo. Isso evita a corrupção de outros processos. Como Windows é multitarefas, vários threads podem ser executados ao mesmo tempo. A quantidade de threads que podem ser executados ao mesmo tempo depende do número de processadores do computador.

Alguns dos processos executados pelo Windows são serviços. Estes são programas que são executados em segundo plano para suportar o sistema operacional e as aplicações. Eles podem ser configurados para iniciar automaticamente quando o Windows for inicializado ou podem ser iniciados manualmente. Eles também podem ser interrompidos, reiniciados ou desativados.

Os serviços fornecem funcionalidade de longa execução, como sem fio ou acesso a um servidor FTP. Para configurar os Serviços do Windows, procure serviços. O miniaplicativo do painel de controle dos Serviços do Windows é mostrado na figura.

Tenha muito cuidado ao manipular as configurações desses serviços. Alguns programas dependem de um ou mais serviços para funcionar corretamente. Encerrar um serviço pode afetar negativamente aplicativos ou outros serviços.

Alocação e identificadores de memória

Um computador funciona armazenando instruções na RAM até que a CPU os processe. O espaço de endereço virtual para um processo é o conjunto de endereços virtuais que o processo pode usar. O endereço virtual não é o local físico real na memória, mas uma entrada em uma tabela de página que é usada para traduzir o endereço virtual para o endereço físico.

Cada processo em um computador Windows de 32 bits suporta um espaço de endereço virtual que permite endereçar até 4 gigabytes. Cada processo num computador Windows de 64 bits suporta um espaço de endereço virtual de 8 terabytes.

Cada processo de espaço do usuário é executado em um espaço de endereço privado, separado de outros processos de espaço do usuário. Quando o processo de espaço do usuário precisa acessar recursos do kernel, ele deve usar um identificador de processo. Isso ocorre porque o processo de espaço do usuário não tem permissão para acessar diretamente esses recursos do kernel. O identificador do processo fornece o acesso necessário para o processo de espaço do usuário sem uma conexão direta com ele.

Uma ferramenta poderosa para visualizar a alocação de memória é RAMMap, que é mostrado na figura. RAMMap faz parte do conjunto de ferramentas do Windows Sysinternals. Ele pode ser baixado da Microsoft. RAMMap fornece uma riqueza de informações sobre como o Windows alocou memória do sistema para o kernel, processos, drivers e aplicativos.

O Registro do Windows

O Windows armazena todas as informações sobre hardware, aplicativos, usuários e configurações do sistema em um banco de dados grande conhecido como o Registro. As formas como esses objetos interagem também são registradas, como quais arquivos um aplicativo abre e todos os detalhes de propriedade de pastas e aplicativos. O registro é um banco de dados hierárquico onde o nível mais alto é conhecido como um ramo, abaixo existem chaves, seguido por subchaves. Os valores armazenam dados e são armazenados nas chaves e subchaves. Uma chave do Registro pode ter até 512 níveis de profundidade.

A tabela lista os cinco ramos do registro do Windows.

Seção (Hive) do Registro Descrição
HKEY_CURRENT_USER (HKCU) Contém informações sobre o usuário conectado no momento.
HKEY_USERS (HKU) Contém informações relativas a todas as contas de usuário no host.
HKEY_CLASSES_ROOT (HKCR) Contém informações sobre registros OLE (vinculação e incorporação de objetos).
OLE permite que os usuários incorporem objetos de outros aplicativos (como uma planilha) em um único documento (como um documento do Word).
HKEY_LOCAL_MACHINE (HKLM) Contém informações relacionadas ao sistema.
HKEY_CURRENT_CONFIG (HKCC) Contém informações sobre o perfil de hardware atual.

Novas seções (hives) não podem ser criadas. As chaves do Registro e os valores nas seções podem ser criados, modificados ou excluídos por uma conta com privilégios administrativos. Como mostrado na figura, a ferramenta regedit.exe é usada para modificar o registro. Tenha muito cuidado ao usar esta ferramenta. Alterações menores no registro podem ter efeitos maciços ou mesmo catastróficos.

A navegação no registro é muito semelhante ao explorador de arquivos do Windows. Use o painel esquerdo para navegar nas seções (hives) e na estrutura abaixo dele e use o painel direito para ver o conteúdo do item realçado no painel esquerdo. Com tantas chaves e subchaves, o caminho da chave pode se tornar muito longo. O caminho é exibido na parte inferior da janela para referência. Como cada chave e subchave é essencialmente um contêiner, o caminho é representado muito parecido com uma pasta em um sistema de arquivos. A barra invertida (\) é usada para diferenciar a hierarquia do banco de dados.

As chaves do Registro podem conter uma subchave ou um valor. Os diferentes valores que as chaves podem conter são os seguintes:

REG\ _BINARY - Números ou valores booleanos
REG\ _DWORD - Números maiores que 32 bits ou dados brutos
REG\ _SZ - Valores de cadeia

Como o registro contém quase toda infomação do sistema operacional e do usuário, é essencial garantir que ele não seja comprometido. Aplicativos potencialmente mal-intencionados podem adicionar chaves do Registro para que elas sejam iniciadas quando o computador for iniciado. Durante uma inicialização normal, o usuário não verá o programa iniciar porque a entrada está no registro e o aplicativo não exibe janelas ou indicação de início quando o computador for inicializado. Um keylogger, por exemplo, seria devastador para a segurança de um computador se ele fosse iniciado na inicialização sem o conhecimento ou consentimento do usuário. Ao executar auditorias de segurança normais ou corrigir um sistema infectado, revise os locais de inicialização do aplicativo no registro para garantir que cada item seja conhecido e seguro para ser executado.

O registro também contém a atividade que um usuário executa durante o uso diário normal do computador. Isso inclui o histórico de dispositivos de hardware, incluindo todos os dispositivos que foram conectados ao computador, incluindo o nome, o fabricante e o número de série. Outras informações, como quais documentos um usuário e um programa abriram, onde eles estão localizados e quando foram acessados, são armazenadas no registro. Isso tudo é uma informação muito útil quando uma investigação forense precisa ser realizada.

Executar como Administrador

Como prática recomendada de segurança, não é aconselhável fazer logon no Windows usando a conta de Administrador ou uma conta com privilégios administrativos. Isso ocorre porque qualquer programa que é executado enquanto conectado com esses privilégios herdará privilégios administrativos. O malware que tem privilégios administrativos tem acesso total a todos os arquivos e pastas no computador.

Às vezes, é necessário executar ou instalar software que requer os privilégios do Administrador. Para conseguir isso, existem duas maneiras diferentes de instalá-lo.

Administrador: Clique com o botão direito no comando no Explorador de Arquivos do Windows e escolha Executar como Administrador no Menu de Contexto.

Prompt de comando do administrador: Procure command, clique com o botão direito do mouse no arquivo executável e escolha Executar como administrador no Menu de contexto. Cada comando executado a partir desta linha de comando será realizado com os privilégios de Administrador, incluindo a instalação de software.

Usuários e Domínios Locais

Quando inicia um novo computador pela primeira vez ou instala o Windows, será pedido para criar uma conta de usuário. Isso é conhecido como um usuário local. Essa conta conterá todas as configurações de personalização, permissões de acesso, locais de arquivos e muitos outros dados específicos do usuário. Há também duas outras contas presentes, o convidado e o administrador. Ambas as contas são desabilitadas por padrão.

Como prática recomendada de segurança, não habilite a conta Administrador e não conceda privilégios administrativos aos usuários padrão. Se um usuário precisar executar qualquer função que exija privilégios administrativos, o sistema solicitará a senha de Administrador e permitirá que somente essa tarefa seja executada como administrador. Exigir a senha de administrador protege o computador impedindo que qualquer software não autorizado instale, execute ou acesse arquivos.

A conta Convidados não deve ser ativada. A conta de convidado não tem uma senha associada a ela porque é criada quando um computador vai ser usado por muitas pessoas diferentes que não têm contas no computador. Cada vez que a conta de convidado faz logon, um ambiente padrão é fornecido a eles com privilégios limitados.

Para facilitar a administração de usuários, o Windows usa grupos. Um grupo terá um nome e um conjunto específico de permissões associadas a ele. Quando um usuário é colocado em um grupo, as permissões desse grupo são dadas a esse usuário. Um usuário pode ser colocado em vários grupos para ser fornecido com muitas permissões diferentes. Quando as permissões se sobrepõem, certas permissões, como “negar explicitamente”, substituirão a permissão fornecida por um grupo diferente. Há muitos grupos de usuários diferentes incorporados no Windows que são usados para tarefas específicas. Por exemplo, o grupo Usuários do Log de Desempenho permite que os membros agendem o log de contadores de desempenho e coletem logs localmente ou remotamente. Os usuários e grupos locais são gerenciados com o miniaplicativo do lusrmgr.msc painel de controle, conforme mostrado na figura.

CLI e PowerShell

A interface de linha de comando (CLI) do Windows pode ser usada para executar programas, navegar no sistema de arquivos e gerenciar arquivos e pastas. Além disso, arquivos chamados de batch podem ser criados para executar vários comandos sucessivamente, assim como um script básico.

Para abrir a CLI do Windows, procure cmd.exe e clique no programa. Lembre-se que clicar com o botão direito do mouse no programa oferece a opção de Executar como administrador, dando muito mais poder aos comandos que serão usados.

O prompt exibe o local atual dentro do sistema de arquivos. Estas são algumas coisas a serem lembradas ao usar a CLI:

  • Os nomes de arquivo e caminhos não diferenciam maiúsculas de minúsculas, por padrão.
  • Os dispositivos de armazenamento recebem uma letra para referência. A letra da unidade é seguida por dois pontos e barra invertida (). Isso indica a raiz, ou nível mais alto, do dispositivo. A hierarquia de pastas e arquivos no dispositivo é indicada separando-os com uma barra invertida. Por exemplo, o caminho C: \ Users \ Jim \ Desktop \ file.txt se refere a um arquivo chamado file.txt que está na pasta Desktop dentro da pasta Jim dentro da pasta Usuários na raiz da unidade C:.
  • Comandos que têm opções opcionais usam a barra (/) para delinear entre o comando e a opção.
  • Você pode usar a tecla Tab para completar automaticamente comandos quando diretórios ou arquivos são referenciados.
  • O Windows mantém um histórico dos comandos inseridos durante uma sessão da CLI. Acesse comandos inseridos anteriormente usando as teclas de seta para cima e para baixo.
  • Para alternar entre dispositivos de armazenamento, digite a letra do dispositivo, seguida de dois pontos e pressione Enter.

Mesmo que a CLI tenha muitos comandos e recursos, ela não pode funcionar em conjunto com o núcleo do Windows ou a GUI. Outro ambiente, chamado Windows PowerShell, pode ser usado para criar scripts para automatizar tarefas que a CLI normal não consegue criar. O PowerShell também fornece uma CLI para iniciar comandos. O PowerShell é um programa integrado no Windows e pode ser aberto pesquisando por “powershell” e clicando no programa. Assim como a CLI, o PowerShell também pode ser executado com privilégios administrativos.

Estes são os tipos de comandos que o PowerShell pode executar:

  • cmdlets - Esses comandos executam uma ação e retornam uma saída ou objeto para o próximo comando que será executado.
  • Scripts do PowerShell - São arquivos com uma extensão .ps1 que contêm comandos do PowerShell executados.
  • Funções do PowerShell - São partes de código que podem ser referenciadas em um script.

Para ver mais informações sobre o Windows PowerShell e começar a usá-lo, digite help no PowerShell, conforme mostrado na saída do comando.

Windows PowerShell
Copyright (C) Microsoft Corporation. All rights reserved.
Try the new cross-platform PowerShell https://aka.ms/pscore6
PS C:\WINDOWS\system32> help
TOPIC
Windows PowerShell Help System
SHORT DESCRIPTION
Displays help about Windows PowerShell cmdlets and concepts.
LONG DESCRIPTION
Windows PowerShell Help describes Windows PowerShell cmdlets,
functions, scripts, and modules, and explains concepts, including
the elements of the Windows PowerShell language.
Windows PowerShell does not include help files, but you can read the
help topics online, or use the Update-Help cmdlet to download help files
to your computer and then use the Get-Help cmdlet to display the help
topics at the command line.
You can also use the Update-Help cmdlet to download updated help files
as they are released so that your local help content is never obsolete.
Without help files, Get-Help displays auto-generated help for cmdlets,
functions, and scripts.
ONLINE HELP
You can find help for Windows PowerShell online in the TechNet Library
beginning at http://go.microsoft.com/fwlink/?LinkID=108518.
To open online help for any cmdlet or function, type:
Get-Help <cmdlet-name> -Online
UPDATE-HELP
To download and install help files on your computer:
1. Start Windows PowerShell with the &quot;Run as administrator&quot; option.
2. Type:
Update-Help
After the help files are installed, you can use the Get-Help cmdlet to
display the help topics. You can also use the Update-Help cmdlet to
download updated help files so that your local help files are always
up-to-date.
For more information about the Update-Help cmdlet, type:
Get-Help Update-Help -Online
– More –

Há quatro níveis de ajuda no Windows PowerShell:

get-help PS command Exibe a ajuda básica para um comando
get-help PS command\ [\ -examples] Exibe a ajuda básica para um comando com exemplos
get-help PS command\ [\ -detailed] Exibe ajuda detalhada para um comando com exemplos
get-help PS command\ [\ -full] Exibe todas as informações de ajuda de um comando com exemplos em maior profundidade

Instrumentação de Gerenciamento do Windows

A Instrumentação de Gerenciamento do Windows (WMI) é usada para gerenciar computadores remotos. Ele pode recuperar informações sobre componentes de computador, estatísticas de hardware e software e monitorar a integridade de computadores remotos. Para abrir o controle WMI a partir do Painel de Controle, clique duas vezes em Ferramentas Administrativas > Gerenciamento do Computador para abrir a janela Gerenciamento do Computador, expanda a árvore Serviços e Aplicativos e clique com o botão direito do mouse no ícone Controle WMI > Propriedades.

A janela Propriedades de Controle WMI é mostrada na figura.

Estas são as quatro guias na janela Propriedades de Controle WMI:

Geral Informações resumidas sobre o computador local e o WMI
Backup/Restore Permite backup manual de estatísticas coletadas pelo WMI
Segurança Configurações para configurar quem tem acesso a diferentes estatísticas WMI
Avançado Configurações para configurar o namespace padrão para WMI

Alguns ataques hoje usam o WMI para se conectar a sistemas remotos, modificar o registro e executar comandos. O WMI ajuda-os a evitar a detecção porque é tráfego comum, na maioria das vezes confiável pelos dispositivos de segurança de rede e os comandos WMI remotos geralmente não deixam evidências no host remoto. Devido a isso, o acesso WMI deve ser estritamente limitado.

O comando net

O Windows tem muitos comandos que podem ser inseridos na linha de comando. Um comando importante é o comando net, que é usado na administração e manutenção do sistema operacional. O comando net suporta muitos subcomandos que seguem o comando net e podem ser combinados com opões para focar na saída específica.

Para ver uma lista de muitos comandos net, escreva net help na linha de comandos. A saída do comando mostra os comandos que o comando net pode usar. Para ver ajuda detalhada sobre qualquer um dos comandos net, digite C:\ > net help, conforme mostrado abaixo.

C:\> net help
The syntax of this command is:
NET HELP
command
-or-
NET command /HELP
Commands available are:
NET ACCOUNTS NET HELPMSG NET STATISTICS
NET COMPUTER NET LOCALGROUP NET STOP
NET CONFIG NET PAUSE NET TIME
NET CONTINUE NET SESSION NET USE
NET FILE NET SHARE NET USER
NET GROUP NET START NET VIEW
NET HELP
NET HELP NAMES explains different types of names in NET HELP syntax lines.
NET HELP SERVICES lists some of the services you can start.
NET HELP SYNTAX explains how to read NET HELP syntax lines.
NET HELP command | MORE displays Help one screen at a time.
C:\>

A tabela lista alguns comandos net comuns.

Comando Descrição
net accounts Define os requisitos de senha e logon para usuários
net session Lista ou desconecta sessões entre um computador e outros computadores na rede
net share Cria, remove ou gerencia recursos compartilhados
net start Inicia um serviço de rede ou lista os serviços de rede em execução
net stop Para um serviço de rede
net use Conecta, desconecta e exibe informações sobre recursos de rede compartilhados
net view Mostra uma lista de computadores e dispositivos de rede na rede

Gerenciador de tarefas e Monitor de recursos

Existem duas ferramentas muito importantes e úteis para ajudar um administrador a compreender os vários aplicativos, serviços e processos diferentes que estão sendo executados em um computador Windows. Essas ferramentas também fornecem informações sobre o desempenho do computador, como CPU, memória e uso da rede. Essas ferramentas são especialmente úteis ao investigar um problema em que o malware é suspeito. Quando um componente não está executando da maneira que deveria ser, essas ferramentas podem ser usadas para determinar qual o problema pode ser.

Gerenciador de Tarefas

O Gerenciador de Tarefas, que é mostrado na figura, fornece muitas informações sobre o software em execução e o desempenho geral do computador.

Redes

Um dos recursos mais importantes de qualquer sistema operacional é a capacidade do computador se conectar a uma rede. Sem esse recurso, não há acesso aos recursos de rede ou à internet. Para configurar as propriedades de rede do Windows e testar as configurações de rede, o Centro de Rede e Compartilhamento é usado. A maneira mais fácil de executar esta ferramenta é procurá-la e clicar nela. Use o Centro de Rede e Compartilhamento para verificar ou criar conexões de rede, configurar o compartilhamento de rede e alterar as configurações do adaptador de rede.

  • Centro de Rede e Compartilhamento

A visualização inicial mostra uma visão geral da rede ativa. Essa exibição mostra se há acesso à Internet e se a rede é privada, pública ou convidada. O tipo de rede, com ou sem fio, também é mostrado. Nessa janela, você pode ver o Grupo Doméstico ao qual o computador pertence ou criar um caso ainda não faça parte de um Grupo Doméstico. Essa ferramenta também pode ser usada para alterar configurações do adaptador, alterar configurações de compartilhamento antecipado, configurar uma nova conexão ou solucionar problemas. Observe que o Grupo Doméstico foi removido do Windows 10 na versão 1803.

  • Alterar as configurações do adaptador

Para configurar um adaptador de rede, escolha Alterar configurações do adaptador no Centro de Rede e Compartilhamento para mostrar todas as conexões de rede disponíveis. Selecione o adaptador que você deseja configurar. Neste caso, alteramos um adaptador Ethernet para adquirir seu endereço IPv4 automaticamente da rede.

nslookup and netstat

O Sistema de Nomes de Domínio (DNS, Domain Name System) também deve ser testado porque é essencial encontrar o endereço dos hosts traduzindo-o a partir de um nome, como uma URL. Use o comando nslookup para testar o DNS. Digite nslookup cisco.com no prompt de comando para localizar o endereço do servidor Web Cisco. Quando o endereço é retornado, você sabe que o DNS está funcionando corretamente. Você também pode verificar quais portas estão abertas, onde elas estão conectadas e qual é seu status atual. Digite netstat na linha de comando para ver detalhes das conexões de rede ativas, conforme mostrado na saída do comando. O comando netstat será examinado mais adiante neste módulo.

C:\Users\USER >netstat

Conexões Ativas

Proto Local Address Foreign Address State
TCP 127.0.0.1:3030 USER-VGFFA:58652 ESTABLISHED
TCP 127.0.0. 1:3030 USER-VGFFA:62114 ESTABELECIDO
TCP 127.0.0.1:3030 USER-VGFFA:62480 TIME_WAIT
TCP 127.0.0.1:3030 USER-VGFFA:62481 TIME_WAIT
TCP 127.0.0.1:3030 USER-VGFFA:62484 TIME_WAIT

Acessando recursos de rede

Como outros sistemas operacionais, o Windows usa rede para muitos aplicativos diferentes, como serviços da Web, email e arquivos. Originalmente desenvolvido pela IBM, a Microsoft ajudou no desenvolvimento do protocolo SMB (Server Message Block) para compartilhar recursos de rede. O SMB é usado principalmente para acessar arquivos em hosts remotos. O formato UNC (Universal Naming Convention) é usado para se conectar a recursos, por exemplo:

\\nome_do_servidor\nome_do_compartilhamento\arquivo

No UNC, nome_do_servidor é o servidor que está hospedando o recurso. Pode ser um nome DNS, um nome NetBIOS ou simplesmente um endereço IP. O nome do compartilhamento é a raiz da pasta no sistema de arquivos no host remoto, enquanto o arquivo é o recurso que o host local está tentando encontrar. O arquivo pode estar mais profundo dentro do sistema de arquivos e essa hierarquia precisará ser indicada.

Ao compartilhar recursos na rede, a área do sistema de arquivos que será compartilhada precisará ser identificada. O controle de acesso pode ser aplicado às pastas e arquivos para restringir usuários e grupos a funções específicas, como ler, gravar ou negar. Há também compartilhamentos especiais que são criados automaticamente pelo Windows. Essas ações são chamadas de ações administrativas. Um compartilhamento administrativo é identificado pelo cifrão ($) que vem após o nome do compartilhamento. Cada volume de disco tem um compartilhamento administrativo, representado pela letra do volume e o $, como C$, D$ ou E$. A pasta de instalação do Windows é compartilhada como admin$, a pasta das impressoras é compartilhada como print$ e há outros compartilhamentos administrativos que podem ser conectados. Somente usuários com privilégios administrativos podem acessar esses compartilhamentos.

A maneira mais fácil de se conectar a um compartilhamento é digitar o UNC do compartilhamento no Explorador de Arquivos do Windows, na caixa na parte superior da tela que mostra a listagem de rastreamento do local atual do sistema de arquivos. Quando o Windows tentar se conectar ao compartilhamento, você será solicitado a fornecer credenciais para acessar o recurso. Lembre-se de que, como o recurso está em um computador remoto, as credenciais precisam ser para o computador remoto, não para o computador local.

Além de acessar compartilhamentos em hosts remotos, você também pode fazer login em um host remoto e manipular esse computador, como se fosse local, para fazer alterações de configuração, instalar software ou solucionar um problema. No Windows, esse recurso usa o protocolo RDP (Remote Desktop Protocol). Ao investigar incidentes de segurança, um analista de segurança usa o RDP frequentemente para acessar computadores remotos. Para iniciar o RDP e conectar-se a um computador remoto, procure área de trabalho remota e clique no aplicativo. A janela Conexão de área de trabalho remota é mostrada na figura.\

Como o RDP foi projetado para permitir que usuários remotos controlem hosts individuais, ele é um alvo natural para atores de ameaças. Deve-se ter cuidado ao ativar o RDP, especialmente em versões legado sem os patches do Windows, como aquelas que ainda são encontradas em sistemas de controle industrial. Deve-se ter cuidado para limitar a exposição do RDP à internet, e abordagens de segurança e políticas de controle de acesso, como Zero Trust, devem ser usadas para limitar o acesso a hosts internos.

Servidor Windows

A maioria das instalações do Windows são executadas como instalações de área de trabalho em desktops e laptops. Há outra edição do Windows que é usada principalmente em data centers chamado Windows Server. Esta é uma família de produtos Microsoft que começou com o Windows Server 2003. O Windows Server hospeda muitos serviços diferentes e pode desempenhar funções diferentes dentro de uma empresa.

Nota: Embora exista um Windows Server 2000, é considerada uma versão cliente do Windows NT 5.0. O Windows Server 2003 é um servidor baseado no NT 5.2 e inicia uma nova família de versões do Windows Server. Estes são alguns dos serviços que o Windows Server fornece:

Serviços de Rede DNS, DHCP, Serviços de Terminal, Controlador de Rede e Virtualização de Rede Hyper-V
Serviços de ArquivoSMB, NFS e DFS
Serviços Web FTP, HTTP e HTTPS
Gerenciamento Diretiva de grupo e controle de serviços de domínio do Active Directory

Segurança do Windows

O Comando netstat

Quando o malware está presente em um computador, ele geralmente abre portas de comunicação no host para enviar e receber dados. O comando netstat pode ser usado para procurar conexões de entrada ou saída que não estão autorizadas. Quando usado por conta própria, o comando netstat exibirá todas as conexões TCP ativas.

Examinando essas conexões, é possível determinar quais dos programas estão escutando conexões que não estão autorizadas. Quando um programa é suspeito de ser malware, uma pequena pesquisa pode ser realizada para determinar sua legitimidade. A partir daí, o processo pode ser encerrado com o Gerenciador de Tarefas, e o software de remoção de malware pode ser usado para limpar o computador.

Para facilitar esse processo, você pode vincular as conexões aos processos em execução que as criaram no Gerenciador de Tarefas. Para fazer isso, abra um prompt de comando com privilégios administrativos e digite o comando netstat -abno, conforme mostrado na saída do comando.

Microsoft Windows [Version 10.0.18363.720]
© 2019 Microsoft Corporation. All rights reserved.
C:\WINDOWS\system32> netstat -abno
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 4
an not obtain ownership information
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 952
RpcSs
svchost.exe]
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
an not obtain ownership information
TCP 0.0.0.0:623 0.0.0.0:0 LISTENING 14660
LMS.exe]
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 1396
TermService
[svchost.exe]
TCP 0.0.0.0:5040 0.0.0.0:0 LISTENING 9792
CDPSvc
[svchost.exe]
TCP 0.0.0.0:5357 0.0.0.0:0 LISTENING 4
Can not obtain ownership information
TCP 0.0.0.0:5593 0.0.0.0:0 LISTENING 4
Can not obtain ownership information
TCP 0.0.0.0:8099 0.0.0.0:0 LISTENING 5248
[SolarWinds TFTP Server.exe]
TCP 0.0.0.0:16992 0.0.0.0:0 LISTENING 14660

Observação: Se você não estiver no modo administrador, uma mensagem “A operação solicitada requer elevação” será exibida. Pesquise Prompt de Comando. Clique com o botão direito do mouse em Prompt de comando e escolha Executar como administrador.

Examinando as conexões TCP ativas, um analista deve ser capaz de determinar se há algum programa suspeito que esteja escutando conexões de entrada no host. Você também pode rastrear esse processo para o Gerenciador de Tarefas do Windows e cancelar o processo. Pode haver mais de um processo listado com o mesmo nome. Se este for o caso, use o PID para encontrar o processo correto. Cada processo em execução no computador tem um PID exclusivo. Para exibir os PIDs dos processos no Gerenciador de Tarefas, abra o Gerenciador de Tarefas, clique com o botão direito do mouse no cabeçalho da tabela e selecione PID.

Visualizador de Eventos

O Visualizador de Eventos do Windows registra o histórico de eventos de aplicativos, segurança e sistema. Esses arquivos de log são uma valiosa ferramenta de solução de problemas porque fornecem informações para identificar um problema. Para abrir o Visualizador de Eventos, procure-o e clique no ícone do programa, conforme mostrado na figura.

O Windows inclui duas categorias de logs de eventos: Logs do Windows e Logs de Aplicativos e Serviços. Cada uma dessas categorias tem vários tipos de log. Os eventos exibidos nesses logs têm um nível: informações, aviso, erro ou crítico. Eles também têm a data e hora em que o evento ocorreu, juntamente com a origem do evento e um ID que se relaciona com esse tipo de evento.

Também é possível criar uma visualização personalizada. Isso é útil ao procurar certos tipos de eventos, encontrar eventos que aconteceram durante um determinado período de tempo, exibir eventos de um determinado nível e muitos outros critérios. Há uma exibição personalizada interna chamada Eventos administrativos que mostra todos os eventos críticos, de erro e de aviso de todos os logs administrativos. Esta é uma boa visão para começar ao tentar solucionar um problema.

Os logs de eventos de segurança são encontrados em Logs do Windows. Eles usam IDs de evento para identificar o tipo de evento.

Configurações do Windows Update

Nenhum software é perfeito e o sistema operacional Windows não é exceção. Os invasores estão constantemente criando novas maneiras de comprometer computadores e explorar códigos ruins. Alguns desses ataques vêm tão rapidamente que as defesas contra eles ainda não foram criadas e distribuídas. Estes são chamados de ataque de dia zero. Microsoft e desenvolvedores de software de segurança estão sempre tentando ficar à frente dos atacantes, mas eles nem sempre são bem-sucedidos. Para garantir o mais alto nível de proteção contra esses ataques, certifique-se sempre de que o Windows está atualizado com os service packs e patches de segurança mais recentes.

Os patches são atualizações de código que os fabricantes fornecem para evitar que um vírus ou um worm recém-descoberto façam um ataque bem-sucedido. De tempos em tempos, os fabricantes combinam patches e atualizações em uma aplicação completa de atualização chamada de service pack. Muitos ataques devastadores de vírus poderiam ter sido muito menos graves, se mais usuários tivessem baixado e instalado o service pack mais recente. É altamente desejável que as empresas utilizem sistemas que distribuam, instalam e rastreiam automaticamente as atualizações de segurança.

O Windows verifica, regularmente, o site Windows Update, por atualizações de alta prioridade e que podem ajudar a proteger o computador contra as mais recentes ameaças de segurança. Essas atualizações incluem atualizações de segurança, atualizações críticas e service packs. Dependendo da configuração escolhida, o Windows baixa e instala, automaticamente, todas as atualizações de alta prioridade que o computador precisar, ou notifica o usuário, conforme essas atualizações estiverem disponíveis. Para configurar as configurações da atualização do Windows, procure o Windows Update e clique no aplicativo.

O status da atualização, mostrado na figura, permite que você verifique as atualizações manualmente e veja o histórico de atualizações do computador.

Há também configurações para as horas em que o computador não será reiniciado automaticamente, por exemplo, durante o horário comercial regular. Você também pode escolher quando reiniciar o computador após uma atualização, se necessário, com as opções Reiniciar. Opções avançadas também estão disponíveis para escolher como as atualizações são instaladas como outros produtos da Microsoft são atualizados.

Ferramenta de Política de Segurança Local

Uma política de segurança é um conjunto de objetivos que garante a segurança de uma rede, dos dados e dos sistemas de computador em uma organização. A política de segurança é um documento em constante desenvolvimento, baseado em mudanças na tecnologia, nos negócios e nas necessidades dos funcionários.

Na maioria das redes que usam computadores Windows, o Active Directory é configurado com domínios em um servidor Windows. Computadores Windows ingressam no domínio. O administrador configura uma Política de Segurança de Domínio que se aplica a todos os computadores que ingressam no domínio. As políticas de conta são definidas automaticamente quando um usuário efetua login em um computador que é membro de um domínio. A Política de Segurança Local do Windows, mostrada na figura, pode ser usada para computadores autônomos que não fazem parte de um domínio do Active Directory. Para abrir o aplicativo Política de Segurança Local, procure Política de Segurança Local e clique no programa.

As diretrizes de senha são um componente importante de uma política de segurança. Qualquer usuário que fizer logon em um computador ou se conectar a um recurso de rede deve ter uma senha. As senhas ajudam a evitar roubo de dados e atos mal-intencionados. As senhas também ajudam a confirmar se o registro de eventos é válido, garantindo que o usuário seja quem diz ser. Na Política de Segurança Local, a Política de Senha é encontrada em Políticas de Conta e define os critérios para as senhas para todos os utilizadores no computador local.

Use a Diretiva de Bloqueio de Conta em Diretivas de Conta, para impedir tentativas de login por força bruta. Por exemplo, você pode definir a política para permitir que o usuário insira um nome de usuário e / ou senha incorretos cinco vezes. Após cinco tentativas, a conta é bloqueada por 30 minutos. Depois de 30 minutos, o número de tentativas é redefinido para zero e o usuário pode tentar entrar novamente.

É importante garantir que os computadores estejam seguros, quando os usuários estiverem ausentes. Uma política de segurança deve conter uma regra sobre a necessidade de se bloquear um computador, quando a proteção de tela for iniciada. Isso garantirá que, depois de um curto período de tempo longe do computador, a proteção de tela será iniciada e o computador não poderá ser usado, até que o usuário faça login novamente.

Se a política de segurança local em cada computador autônomo for a mesma, use o recurso Exportar política. Salve a diretiva com um nome, como workstation.inf. Copie o arquivo de política para uma mídia externa ou unidade de rede para usar em outros computadores independentes. Isso é particularmente útil quando o administrador precisa configurar diretivas locais abrangentes para direitos de usuário e opções de segurança.

O miniaplicativo Diretiva de Segurança Local contém muitas outras configurações de segurança que se aplicam especificamente ao computador local. Você pode configurar Direitos de Usuário, Regras de Firewall e até mesmo a capacidade de restringir os arquivos que os usuários ou grupos têm permissão para executar com o AppLocker.

Windows Defender

Malware inclui vírus, worms, cavalos de Troia, keyloggers, spyware, e adware. Eles são projetados para invadir a privacidade, roubar informações, danificar o computador ou corromper dados. É importante que você proteja os computadores e dispositivos móveis com software antimalware de qualidade. Os seguintes tipos de programas antimalware estão disponíveis:

  • Proteção antivírus - Este programa monitora continuamente a existência de vírus. Quando um vírus é detectado, o usuário é avisado e o programa tenta colocar o vírus em quarentena ou excluí-lo.
  • Proteção de adware - Este programa procura continuamente programas que exibem anúncios em seu computador.
  • Proteção contra phishing - este programa bloqueia os endereços IP de sites de phishing conhecidos e avisa o usuário sobre sites suspeitos.
  • Proteção contra spyware - este programa verifica a existência de keyloggers e outros spywares.
  • Fontes confiáveis / não confiáveis - Este programa avisa sobre programas inseguros prestes a serem instalados ou sites inseguros antes de serem visitados.

Pode ser necessário usar vários programas diferentes e fazer várias varreduras para remover completamente todos os softwares mal-intencionados. Execute apenas um programa de proteção contra malware por vez.

Várias empresas de segurança confiáveis, como McAfee, Symantec e Kaspersky, oferecem proteção completa contra malware para computadores e dispositivos móveis. O Windows possui proteção interna contra vírus e spyware chamada Windows Defender, como mostrado na figura. O Windows Defender está ativado por padrão para fornecer proteção em tempo real contra infecções.

Para abrir o Windows Defender, procure-o e clique no programa. Embora o Windows Defender funcione em segundo plano, você pode executar varreduras manuais do computador e dispositivos de armazenamento. Você também pode atualizar manualmente as definições de vírus e spyware na guia Atualizar. Além disso, para ver todos os itens encontrados durante varreduras anteriores, clique na guia Histórico.

Firewall do Windows Defender

Um firewall nega, seletivamente, o tráfego a um computador ou a um segmento de rede. Os firewalls trabalham, geralmente, abrindo e fechando as portas usadas por vários aplicativos. Ao abrir apenas as portas necessárias em um firewall, você está implementando uma política de segurança restritiva. Qualquer pacote não explicitamente permitido é negado. Ao contrário, uma política de segurança permissiva permite acesso por todas as portas, exceto aquelas explicitamente negadas. Antigamente, software e hardware eram enviados com configurações permissivas. Como os usuários negligenciavam a configuração do equipamento, as configurações permissivas padrão deixavam muitos dispositivos expostos a invasores. Agora, a maioria dos dispositivos é enviada com configurações o mais restritivas possível, mesmo que permitindo ainda uma configuração fácil.

Para permitir o acesso ao programa através do Firewall do Windows Defender, procure por Painéis de Controle. Em Sistemas e Segurança, localize o Firewall do Windows Defender. Clique em Permitir um aplicativo ou recurso por meio do Firewall do Windows Defender, conforme mostrado na figura.

Se desejar usar um firewall por software diferente, você precisará desativar o firewall do Windows. Para desativar o Firewall do Windows, clique em Ativar ou desativar o Firewall do Windows.

Muitas configurações adicionais podem ser encontradas em Configurações avançadas. Aqui você pode criar regras de tráfego de entrada ou saída com base em critérios diferentes. Você também pode importar e exportar políticas ou monitorar diferentes aspectos do firewall.

O que aprendi neste módulo?

  • Histórico do Windows

Os primeiros computadores precisaram de um sistema operacional de disco (DOS, Disk Operating System) para criar e gerenciar arquivos. A Microsoft desenvolveu o MS-DOS como uma interface de linha de comando (CLI) para acessar a unidade de disco e carregar os arquivos do sistema operacional. As versões anteriores do Windows consistiam em uma interface gráfica (GUI) que executava dentro do MS-DOS. No entanto, as versões modernas do Windows estão no controle direto do computador e seu hardware e suportam vários processos de usuário. Isso é muito diferente do que o MS-DOS de processo único e penas um usuário. Desde 1993, houve mais de 20 lançamentos do Windows que são baseados no sistema operacional NT. Os usuários usam uma GUI do Windows para trabalhar com arquivos de dados e software. A GUI tem uma área principal conhecida como Área de Trabalho e uma Barra de Tarefas situada abaixo da área de trabalho. A Barra de Tarefas inclui o menu Iniciar, ícones de inicialização rápida e uma área de notificação. O Windows tem muitas vulnerabilidades. Recomendações para proteger o sistema operacional Windows incluem o uso de proteção contra vírus ou malware, uso de senhas fortes, uso de firewall e uso limitado da conta de administrador, entre outras.

  • Arquitetura e operações do Windows

O Windows consiste em uma camada de abstração de hardware (HAL) que é um software que lida com toda a comunicação entre o hardware e o kernel. O kernel tem controle sobre todo o computador e lida com solicitações de entrada e saída, memória e todos os periféricos conectados ao computador. O Windows opera em dois modos diferentes. O primeiro é o modo de usuário. A maioria dos programas do Windows são executados no modo de usuário. O segundo é o modo kernel. Ele permite o acesso direto do código do sistema operacional ao hardware do computador. O Windows suporta vários sistemas de arquivos diferentes, mas o NTFS é o mais utilizado. Os volumes NTFS incluem o setor de inicialização de partição, tabela de arquivos mestre, arquivos de sistema e a área de arquivo. Quando um computador inicializa, ele primeiro acessa as informações do sistema e o código armazenados no hardware do BIOS. O código de inicialização do BIOS executa um auto-teste do sistema chamado POST, localiza e carrega o sistema operacional Windows e carrega outros programas associados para iniciar o sistema operacional. O Windows deve ser sempre desligado corretamente.

Um computador funciona armazenando instruções na RAM até que a CPU os processe. Cada processo em um computador Windows de 32 bits suporta um espaço de endereço virtual que permite endereçar até 4 gigabytes. Cada processo num computador Windows de 64 bits suporta um espaço de endereço virtual de até 8 terabytes. O Windows armazena todas as informações sobre hardware, aplicativos, usuários e configurações do sistema em um banco de dados grande conhecido como o Registro. O registro é um banco de dados hierárquico onde o nível mais alto é conhecido como um ramo, abaixo existem chaves, seguido por subchaves. Existem cinco seções (hives) de registo que contêm dados relativos à configuração e operação do Windows. Existem centenas de chaves e subchaves.

  • Configuração e monitoramento do Windows

Por razões de segurança, não é aconselhável iniciar sessão no Windows utilizando a conta de Administrador ou uma conta com privilégios administrativos. Não dê privilégios administrativos aos usuários padrão. Não ative a conta Convidados, a menos que o computador seja usado por muitas pessoas diferentes que não tenham contas. Use grupos do Windows para facilitar a administração de usuários. Usuários e grupos locais são gerenciados com o applet do painel de controle lusrmgr.msc.

Você pode usar a CLI ou o Windows PowerShell para executar comandos. O PowerShell pode ser usado para criar scripts para automatizar tarefas que a CLI normal não consegue automatizar. A Instrumentação de Gerenciamento do Windows (WMI) é usada para gerenciar computadores remotos. O comando net pode ser combinado com switches para focar na saída específica. O Gerenciador de Tarefas fornece muitas informações sobre o que está sendo executado e o desempenho geral do computador. O Monitor de Recursos fornece informações mais detalhadas sobre o uso de recursos. O Centro de Rede e Compartilhamento é utilizado para configurar as propriedades de rede do Windows e testar as definições de rede. O protocolo SMB (Server Message Block) é usado para compartilhar recursos de rede, como arquivos em hosts remotos. O formato UNC (Universal Naming Convention) é usado para se conectar a recursos. O Windows Server é uma edição do Windows que é usada principalmente em data centers. Ele fornece serviços de rede, arquivos, Web e gerenciamento para uma rede ou domínio do Windows.

  • Segurança do Windows

O malware pode abrir portas de comunicação para se comunicar e espalhar. O comando netstat do Windows exibe todas as portas de comunicação abertas em um computador e também pode exibir os processos de software associados às portas. Isso permite que softwares potencialmente mal-intencionados desconhecidos sejam identificados e desativados. O Visualizador de Eventos do Windows fornece acesso a vários eventos registrados em relação à operação de um computador. O registro do Windows registra eventos de aplicativos e serviços do Windows. Os níveis de gravidade de eventos registrados variam por meio das informações, advertência, erro ou níveis críticos. É muito importante manter o Windows atualizado para se proteger contra novas ameaças à segurança. Os patches de software, as atualizações e os service packs abordam as vulnerabilidades de segurança à medida que são descobertas. O Windows deve ser configurado para baixar e instalar atualizações automaticamente à medida que elas se tornarem disponíveis. O Windows pode ser configurado para instalar e reiniciar um computador em horários especificados do dia.

Continua, em desenvolvimento…

Redes - TI 2022/04/28 02:57

start.txt · Última modificação: 2025/03/16 11:41 por bernardino

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki