{"id":238,"date":"2024-11-23T19:36:00","date_gmt":"2024-11-23T19:36:00","guid":{"rendered":"https:\/\/oerlabs.com.br\/blog\/?p=238"},"modified":"2024-11-21T13:40:14","modified_gmt":"2024-11-21T13:40:14","slug":"hora-da-historia-cibernetica-o-menino-que-gritou-seguro","status":"publish","type":"post","link":"https:\/\/oerlabs.com.br\/blog\/2024\/11\/23\/hora-da-historia-cibernetica-o-menino-que-gritou-seguro\/","title":{"rendered":"Hora da hist\u00f3ria cibern\u00e9tica: O menino que gritou “Seguro!”"},"content":{"rendered":"\n

Como uma categoria de seguran\u00e7a relativamente nova, muitos operadores e executivos de seguran\u00e7a que conheci nos perguntaram “O que s\u00e3o essas ferramentas de Valida\u00e7\u00e3o Automatizada de Seguran\u00e7a (ASV)?” N\u00f3s cobrimos isso bastante extensivamente no passado, ent\u00e3o hoje, em vez de cobrir o ”\u00a0O que \u00e9 ASV?”<\/em>\u00a0eu queria abordar a quest\u00e3o ”\u00a0Por que ASV?”<\/em>\u00a0. Neste artigo, cobriremos alguns casos de uso comuns e equ\u00edvocos de como as pessoas usam mal e entendem mal as ferramentas ASV diariamente (porque isso \u00e9 muito mais divertido). Para come\u00e7ar, n\u00e3o h\u00e1 lugar para come\u00e7ar como o come\u00e7o.<\/p>\n\n\n\n

Ferramentas de valida\u00e7\u00e3o de seguran\u00e7a automatizadas s\u00e3o projetadas para fornecer avalia\u00e7\u00e3o cont\u00ednua e em tempo real das defesas de seguran\u00e7a cibern\u00e9tica de uma organiza\u00e7\u00e3o. Essas ferramentas s\u00e3o cont\u00ednuas e usam explora\u00e7\u00e3o para validar defesas como EDR, NDR e WAFs. Elas s\u00e3o mais aprofundadas do que scanners de vulnerabilidade porque usam t\u00e1ticas e t\u00e9cnicas que voc\u00ea ver\u00e1 em testes de penetra\u00e7\u00e3o manuais. Os scanners de vulnerabilidade n\u00e3o retransmitem hashes ou combinam vulnerabilidades para ataques posteriores, que \u00e9 onde os ASVs brilham. Seu prop\u00f3sito est\u00e1 no nome: “validar” defesas. Quando problemas ou lacunas s\u00e3o abordados, precisamos validar se eles realmente foram corrigidos.<\/p>\n\n\n\n

Por que o ASV \u00e9 necess\u00e1rio?<\/strong><\/h2>\n\n\n\n

E isso nos leva \u00e0 parte de mostrar<\/em> isso, e nosso professor para isso \u00e9 Esopo, o contador de hist\u00f3rias grego que viveu por volta de 600 a.C. Ele escreveu uma hist\u00f3ria chamada The Boy Who Cried Wolf que eu sei que voc\u00ea j\u00e1 ouviu antes, mas vou compartilhar novamente caso voc\u00ea precise de uma atualiza\u00e7\u00e3o:<\/p>\n\n\n\n

A f\u00e1bula conta a hist\u00f3ria de um pastorzinho que continua enganando a vila, fazendo-a acreditar que viu um lobo. Se ele foi motivado por aten\u00e7\u00e3o, medo ou vis\u00e3o terr\u00edvel? N\u00e3o sei. O ponto \u00e9 que ele repetidamente acena as m\u00e3os no ar e grita “Lobo!” quando n\u00e3o h\u00e1 lobo \u00e0 vista. Ele faz isso com tanta frequ\u00eancia que dessensibiliza os moradores da cidade aos seus chamados, de modo que, quando realmente h\u00e1 um lobo, a cidade n\u00e3o acredita nele, e o pastorzinho \u00e9 comido. \u00c9 uma hist\u00f3ria muito emocionante, como a maioria dos contos gregos.<\/p>\n\n\n\n

O administrador de sistemas que chorou foi remediado<\/strong><\/h2>\n\n\n\n

Na seguran\u00e7a cibern\u00e9tica moderna, o falso positivo \u00e9 o equivalente a “gritar lobo”. Um problema de pr\u00e1tica comum, onde amea\u00e7as s\u00e3o alertadas apesar de n\u00e3o terem nenhuma chance de serem exploradas. Mas vamos reavaliar essa hist\u00f3ria porque a \u00fanica coisa pior do que um falso positivo \u00e9 um falso negativo.<\/p>\n\n\n\n

Imagine, se em vez de “gritar lobo” quando n\u00e3o havia lobo, o menino dissesse “est\u00e1 tudo limpo”, sem nunca perceber que o lobo estava escondido entre as ovelhas. Isso \u00e9 um falso negativo, n\u00e3o ser alertado quando uma amea\u00e7a \u00e9 prevalente. Depois que o menino montou as armadilhas, ele se convenceu de que n\u00e3o havia mais uma amea\u00e7a, mas n\u00e3o validou que as armadilhas realmente funcionaram para bloquear o lobo. Ent\u00e3o a vers\u00e3o redefinida de Crying Wolf foi mais ou menos assim:<\/p>\n\n\n\n

“Ah, imaginei que t\u00ednhamos um lobo \u00e0 espreita. Vou cuidar dele”, diz o garoto.<\/p>\n\n\n\n

Ent\u00e3o o pastor segue as instru\u00e7\u00f5es: Ele monta armadilhas para lobos, compra uma ferramenta de seguran\u00e7a para matar lobos, ele at\u00e9 coloca um Objeto de Pol\u00edtica de Grupo (GPO) para tirar aquele lobo do seu campo. Ent\u00e3o ele vai para a cidade orgulhoso do seu trabalho.<\/p>\n\n\n\n

“Disseram-me que havia um lobo, ent\u00e3o cuidei dele”, conta ele aos amigos pastores enquanto tomam uma cerveja na taverna local.<\/p>\n\n\n\n

Enquanto isso, a realidade \u00e9 que o lobo \u00e9 capaz de desviar das armadilhas, passar pela ferramenta mal configurada de matar lobos e definir novas pol\u00edticas no n\u00edvel do aplicativo para que ele n\u00e3o se importe com o GPO. Ele captura um conjunto de credenciais do Domain Admin (DA) da cidade, as retransmite, se declara prefeito e, em seguida, mant\u00e9m a cidade sob um ataque de ransomware. Antes que eles percebam, a cidade deve 2 Bitcoins a algum lobo, ou ent\u00e3o eles perder\u00e3o suas ovelhas e um caminh\u00e3o cheio de PII.<\/p>\n\n\n\n

O que o pastorzinho fez \u00e9 chamado de falso negativo. Ele pensou que n\u00e3o havia lobo, vivendo em uma falsa sensa\u00e7\u00e3o de seguran\u00e7a quando a amea\u00e7a nunca foi verdadeiramente neutralizada. E agora ele est\u00e1 virando tend\u00eancia no Twitter por todos os motivos errados.<\/p>\n\n\n\n

Hora de um cen\u00e1rio da vida real!<\/strong><\/h2>\n\n\n\n

Lobos raramente s\u00e3o uma amea\u00e7a \u00e0 seguran\u00e7a da informa\u00e7\u00e3o, mas voc\u00ea sabe quem \u00e9? Aquele mau ator com um backdoor, um ponto de apoio na sua rede, ouvindo credenciais. Tudo isso \u00e9 poss\u00edvel por meio de seus bons amigos, protocolos de resolu\u00e7\u00e3o de nomes legados.<\/p>\n\n\n\n

Ataques de envenenamento de resolu\u00e7\u00e3o de nomes s\u00e3o um bug dif\u00edcil de esmagar no que diz respeito \u00e0 remedia\u00e7\u00e3o. Se seu DNS estiver configurado incorretamente (o que \u00e9 surpreendentemente comum) e voc\u00ea n\u00e3o tiver desabilitado os bons e velhos protocolos LLMNR, NetBIOS NS e mDNS usados \u200b\u200bem ataques man-in-the-middle via GPO, scripts de inicializa\u00e7\u00e3o ou seu pr\u00f3prio molho especial, ent\u00e3o voc\u00ea pode estar em apuros. E onde o lobo pode ter se servido de um copo de leite, seu invasor estar\u00e1 se servindo de dados confidenciais.<\/p>\n\n\n\n

Se um invasor farejar credenciais e voc\u00ea n\u00e3o tiver a assinatura SMB habilitada e<\/em> necess\u00e1ria em todas as suas m\u00e1quinas unidas ao dom\u00ednio (se voc\u00ea est\u00e1 se perguntando se tem, ent\u00e3o provavelmente n\u00e3o tem), ent\u00e3o esse invasor pode retransmitir o hash. Isso obter\u00e1 acesso \u00e0 m\u00e1quina unida ao dom\u00ednio sem nem mesmo quebrar o hash capturado.<\/p>\n\n\n\n

Caramba!<\/p>\n\n\n\n

Agora seu pentester amig\u00e1vel da vila encontra esse problema e diz ao administrador do sistema, tamb\u00e9m conhecido como nosso pastor, para fazer uma das corre\u00e7\u00f5es mencionadas acima para evitar toda essa sequ\u00eancia de ataques. Ele remedia isso da melhor maneira poss\u00edvel. Eles colocam os GPOs, pegam as ferramentas sofisticadas, fazem TODAS as coisas. Mas o lobo morto foi visto? N\u00f3s SABEMOS que a amea\u00e7a foi corrigida?<\/p>\n\n\n\n

Por meio de um conjunto de casos extremos dignos de montagem, o invasor ainda pode entrar, porque quase sempre haver\u00e1 casos extremos. Voc\u00ea ter\u00e1 um servidor Linux que n\u00e3o est\u00e1 unido ao dom\u00ednio, um aplicativo que ignora GPO e transmite suas credenciais de qualquer maneira. Pior ainda (*arrepios*), uma ferramenta de descoberta de ativos usando enumera\u00e7\u00e3o autenticada que confia na rede em geral e envia credenciais DA para todos.<\/p>\n\n\n\n

Alarmes falsos corrigidos<\/strong><\/h2>\n\n\n\n

\u00c9 por isso que os deuses cibern\u00e9ticos nos deram o ASV, porque o ASV \u00e9 o lenhador da cidade rasgada com um trabalho paralelo como um lobo fantasma. Ele se comportar\u00e1 como um lobo. Ele farejar\u00e1 as credenciais, capturar\u00e1 o hash e o retransmitir\u00e1 para a m\u00e1quina unida ao dom\u00ednio para que o administrador do sistema possa encontrar o \u00fanico servidor chato que n\u00e3o \u00e9 unido ao dom\u00ednio e n\u00e3o escuta o GPO.<\/p>\n\n\n\n

Vamos trazer tudo para casa. H\u00e1 algumas coisas que simplesmente fazem sentido. Voc\u00ea n\u00e3o chamaria um lobo de morto antes de v\u00ea-lo e, sem d\u00favida, voc\u00ea n\u00e3o chamaria algo de remediado antes de realmente valid\u00e1-lo. Ent\u00e3o, n\u00e3o se torne ‘O Administrador de Sistemas Que Gritou Remediado’.<\/p>\n\n\n\n

Este artigo foi escrito pelo CISO de campo da Pentera, Jason Mar-Tang.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Como uma categoria de seguran\u00e7a relativamente nova, muitos operadores e executivos de seguran\u00e7a que conheci nos perguntaram “O que s\u00e3o essas ferramentas de Valida\u00e7\u00e3o Automatizada de Seguran\u00e7a (ASV)?” N\u00f3s cobrimos isso bastante extensivamente no passado, ent\u00e3o hoje, em vez de cobrir o ”\u00a0O que \u00e9 ASV?”\u00a0eu queria abordar a quest\u00e3o ”\u00a0Por que ASV?”\u00a0. Neste artigo, […]<\/p>\n","protected":false},"author":1,"featured_media":239,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"nf_dc_page":"","sfsi_plus_gutenberg_text_before_share":"","sfsi_plus_gutenberg_show_text_before_share":"","sfsi_plus_gutenberg_icon_type":"","sfsi_plus_gutenberg_icon_alignemt":"","sfsi_plus_gutenburg_max_per_row":"","footnotes":""},"categories":[4,1],"tags":[],"class_list":["post-238","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ia","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/238","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/comments?post=238"}],"version-history":[{"count":1,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/238\/revisions"}],"predecessor-version":[{"id":240,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/238\/revisions\/240"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media\/239"}],"wp:attachment":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media?parent=238"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/categories?post=238"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/tags?post=238"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}