Autor: Lucas Andrade

Você pode não ver, mas enquanto lê este artigo, empresas de todos os portes e setores estão enfrentando diversos tipos de ataques cibernéticos. Eles estão cada vez mais frequentes e complexos.

Em 2025, os hackers apostarão em táticas refinadas, que vão desde o uso malicioso de IA até espionagem corporativa avançada. O objetivo? Capturar seus dados e prejudicar suas operações.

Quer saber como se defender dessas ameaças modernas? Confira a lista completa e atualizada com os ataques virtuais em alta!

O que é um ataque cibernético?

Ataque cibernético é um termo abrangente, que engloba vários tipos de atividades maliciosas executadas por indivíduos ou grupos de hackers, explorando vulnerabilidades em sistemas de computadores, redes ou dispositivos conectados.

Essas investidas digitais podem ter objetivos diversos, como:

• roubo de informações e dados sensíveis;
• interromper serviços;
• aplicar golpes;
• prejudicar a reputação de empresas.

Ao longo dos anos, com o crescimento acelerado da digitalização, os ataques cibernéticos acompanharam a evolução da tecnologia. Hoje, além de extremamente comuns, esses incidentes estão mais sofisticados e potencialmente danosos.

Para se ter uma ideia, de acordo com a Cybersecurity Ventures, o custo do cibercrime chegará a US$ 10,5 trilhões em 2025. Isso mostra que o tema é de altíssima relevância e precisa ser tratado com a máxima atenção, principalmente pelas empresas.

18 tipos de ataques cibernéticos que podem derrubar seu negócio

Embora os dados demonstrem um cenário assustador, as tecnologias voltadas para a segurança digital também evoluíram bastante. Mas isso não significa que a batalha seja fácil!

Lidar com as inúmeras ameaças cibernéticas existentes é um grande desafio. Além disso, é uma tarefa permanente, que passa por diferentes cuidados e práticas.

Por onde começar? Sua primeira ação deve ser conhecer e compreender os perigos à frente. Pensando nisso, reunimos os 18 principais tipos de ataques cibernéticos que podem afetar a sua empresa. Acompanhe!

1. Ransomware

O ransomware é um ataque cibernético no qual os invasores bloqueiam o acesso aos seus dados ou sistemas, exigindo o pagamento de um resgate para restaurar o acesso.

Geralmente, os dados são criptografados e ficam inacessíveis até que o resgate seja pago — o que nem sempre acontece. Esses ataques podem paralisar operações de negócios e resultar em perda de dados críticos, além de expor a empresa a danos à reputação.

Os números comprovam o quanto o ransomware é perigoso:

• 14% das organizações da América Latina afirmam estar dispostas a pagar resgate exigido pelos hackers (ESET Security Report);
• Perda de dados subiu para 30,2% em 2024 (ESET Security Report);
• 27% as empresas que pagaram resgate não conseguiram recuperar seus dados (Veeam);
• Em 2024, foi registrado o maior valor de resgate pago por uma vítima de ransomware no mundo: US$75 milhões. (Chainalysis).

Como se proteger contra o ransomware?

A proteção contra o ransomware exige uma abordagem estratégica, que leva em consideração diversas áreas e processos da empresa. Confira algumas boas práticas:

• Autenticação em dois fatores: isso fortalece a segurança e reduz o risco de acessos não autorizados, caso ocorra o vazamento de senhas;
• Backups periódicos: ter cópias de segurança atualizadas e armazenadas em um ambiente seguro reduz o impacto do ransomware e ajuda a recuperação de dados;
• Conscientização e capacitação do time: treinar funcionários ajuda a prevenir erros e comportamentos que facilitam a ação dos hackers.

2. Uso malicioso de IA

Uma das ameaças mais perigosas da atualidade é o uso malicioso da IA, seja para automatizar ataques ou criar falsificações extremamente realistas — o que é o caso dos deepfakes, que simulam rostos e vozes de pessoas reais.

Que tal um exemplo real de deepfake? Em 2024, golpistas de Hong Kong simularam uma videoconferência com a participação do diretor financeiro de uma grande empresa e de outros colaboradores. Só que ninguém na chamada de vídeo era real – exceto a vítima, um funcionário do setor financeiro da empresa.

No fim das contas, o único participante verdadeiro que participava da reunião foi convencido por outros supostos colaboradores a fazer um total de 15 transferências para cinco contas bancárias de Hong Kong. O prejuízo ultrapassou 129 milhões de reais.

3. Phishing

O phishing é um tipo de ataque cibernético que utiliza técnicas de engenharia social para enganar usuários e obter informações confidenciais, como senhas ou dados bancários.

Os criminosos geralmente enviam mensagens fraudulentas, que aparentam ser de fontes confiáveis, induzindo as vítimas a clicar em links maliciosos ou a fornecer dados pessoais.

Esses ataques podem ocorrer por meio de e-mails, mensagens de texto, redes sociais ou até mesmo chamadas telefônicas.

• Em 2024, os ataques de phishing aumentaram 58%, atingindo níveis de sofisticação sem precedentes, impulsionados pelo uso de ferramentas de inteligência artificial (ZScaller);
• No terceiro trimestre de 2024, 30,5% dos ataques de phishing foram direcionados a plataformas de mídia social, seguidos por serviços de software baseados na web e webmail, com 21,2%, e instituições financeiras, com 13% (Statista);

Como se proteger contra o phishing?

A proteção contra phishing requer uma abordagem proativa e consciente. Aqui estão algumas dicas rápidas para se proteger:

• Desconfie de mensagens não solicitadas: tenha muita cautela com e-mails e mensagens que solicitam informações pessoais ou financeiras, especialmente se não foram esperados;
• Não clique em links suspeitos: evite clicar em links ou baixar anexos de fontes desconhecidas ou não verificadas. Passe o cursor sobre o link para visualizar o URL real antes de clicar.
• Use autenticação 2FA: o modo de autenticação de dois fatores representa uma camada extra de proteção para seus dispositivos, algo sempre bem-vindo.

4. Whale-phishing

Também conhecido como whaling ou fraude do CEO, o whale phishing é uma forma avançada de phishing que tem como alvo executivos e indivíduos de alto escalão dentro de uma organização.

Os cibercriminosos personalizam as mensagens, fazendo-as parecer legítimas e relevantes para as funções e responsabilidades da vítima, com o objetivo de enganá-la e obter informações confidenciais ou autorizações para transações financeiras fraudulentas.

Como se proteger?

• Educação e conscientização: realize treinamentos regulares para todos os funcionários, incluindo executivos, sobre os riscos de ataques de whaling e como identificá-los. Simulações de phishing podem ajudar a reforçar o aprendizado;
• Verificação de solicitações: estabeleça procedimentos para verificar solicitações de transferências financeiras ou divulgações de informações confidenciais, especialmente aquelas que parecem urgentes ou fora do comum;
• Restrições de informações públicas: limite a quantidade de informações sensíveis disponíveis publicamente sobre executivos e operações da empresa. Cibercriminosos frequentemente coletam dados de sites corporativos e redes sociais para personalizar ataques.

5. DoS e DDoS

Os ataques de Negação de Serviço (DoS) e Negação Distribuída de Serviço (DDoS) visam sobrecarregar sistemas, redes ou servidores com um volume excessivo de tráfego, tornando-os inacessíveis para usuários legítimos.

Enquanto um ataque DoS geralmente é conduzido a partir de uma única fonte, os ataques DDoS envolvem múltiplas fontes distribuídas, frequentemente utilizando redes de dispositivos comprometidos, conhecidas como botnets.

• Em 2024, houve um aumento significativo nos ataques DDoS, com registros de ataques ultrapassando 1 Tbps, indicando uma escalada na capacidade e sofisticação desses ataques (Sempre Update).

Como se proteger contra DoS e DDoS?

• Monitoramento contínuo: implemente sistemas de monitoramento de tráfego para detectar atividades suspeitas e responder rapidamente a possíveis ataques;
• Serviços de mitigação DDoS: utilize serviços especializados que podem absorver e filtrar o tráfego malicioso antes que ele afete seus sistemas;
• Planos de resposta a incidentes: desenvolva e teste regularmente planos de resposta a incidentes específicos para ataques DoS e DDoS, garantindo que sua equipe saiba como reagir eficazmente.

6. MITM (Man-in-the-Middle)

Em um ataque Man-in-the-Middle (MITM), o invasor intercepta e possivelmente altera a comunicação entre duas partes que acreditam estar se comunicando diretamente uma com a outra.

Isso permite que o atacante capture informações sensíveis, como credenciais de login, números de cartão de crédito ou dados confidenciais, sem o conhecimento das partes envolvidas.

Como se proteger contra MITM?

• Uso de VPNs: utilize Redes Privadas Virtuais (VPNs) para criptografar o tráfego de internet, especialmente ao usar redes Wi-Fi públicas;
• Certificados digitais: assegure-se de que os sites que você acessa utilizem HTTPS e certificados SSL/TLS válidos;
• Autenticação forte: implemente métodos de autenticação multifator para adicionar camadas extras de segurança às suas contas.

7. Engenharia Social

A engenharia social envolve a manipulação psicológica de indivíduos para que divulguem informações confidenciais ou realizem ações que comprometem a segurança. Os atacantes exploram a confiança, curiosidade ou medo das vítimas para induzi-las a revelar dados sensíveis ou executar ações prejudiciais.

• Ataques de engenharia social foram responsáveis por 70% das violações de dados em 2024 (IT Security);
• Phishing, pretexting e baiting são técnicas frequentemente utilizadas em ataques de engenharia social.

Como se proteger contra Engenharia Social?

• Conscientização e treinamento: realize treinamentos regulares para educar funcionários sobre as táticas de engenharia social e como reconhecê-las;
• Verificação de identidade: sempre verifique a identidade de indivíduos que solicitam informações confidenciais ou ações específicas, especialmente se a solicitação for inesperada;
• Políticas de segurança: estabeleça políticas claras para o compartilhamento de informações e siga procedimentos rigorosos para validar solicitações.

8. Ataque de Senha

Ataques de senha têm como objetivo obter acesso não autorizado a sistemas ou contas, tentando adivinhar ou roubar senhas.

Os métodos mais comuns incluem ataques de força bruta, onde todas as combinações possíveis são tentadas, e ataques de dicionário, que utilizam listas de senhas comuns.

• Cerca de 80% das violações de segurança em 2024 foram atribuídas ao uso de senhas fracas ou reutilizadas.

Como se proteger contra Ataques de Senha?

• Senhas fortes e únicas: crie senhas complexas, utilizando uma combinação de letras maiúsculas e minúsculas, números e símbolos, e evite reutilizar senhas em múltiplas contas;
• Gerenciadores de senhas: utilize gerenciadores de senhas para armazenar e gerar senhas seguras, facilitando o gerenciamento de credenciais;
• Autenticação Multifator (MFA): ative a MFA sempre que possível para adicionar uma camada extra de segurança além da senha.

9. Falsificação de DNS

A falsificação de DNS, também conhecida como envenenamento de cache DNS, é um ataque em que os invasores manipulam os registros DNS para redirecionar os usuários para sites maliciosos que se assemelham aos legítimos.

Isso permite que os criminosos roubem informações confidenciais, como credenciais de login e dados bancários, sem que a vítima perceba.

Como se proteger contra a Falsificação de DNS?

• Serviços de DNS confiáveis: utilize provedores de DNS confiáveis e seguros, que ofereçam proteção contra ataques de envenenamento de cache e monitoramento contínuo;
• Monitoramento de tráfego: monitore o tráfego de rede em busca de atividades suspeitas ou padrões incomuns que possam indicar tentativas de falsificação de DNS.

10. Força bruta

Ataques de força bruta envolvem tentativas repetidas e automatizadas de adivinhar senhas ou chaves criptográficas, testando todas as combinações possíveis até encontrar a correta. Esse método é especialmente eficaz contra senhas fracas ou comumente utilizadas.

• Em 2024, os ataques de força bruta avançaram consideravelmente, com os cibercriminosos capazes de planejar operações massivas com pouca assistência humana, utilizando ferramentas automatizadas e botnets.

Como se proteger contra ataques de força bruta?

• Senhas fortes e complexas: crie senhas longas e complexas, combinando letras maiúsculas e minúsculas, números e caracteres especiais, evitando palavras comuns ou sequências previsíveis;
• Limitação de tentativas de login: configure sistemas para limitar o número de tentativas de login falhas, bloqueando temporariamente ou alertando administradores após várias tentativas malsucedidas;
• Autenticação Multifator (MFA): implemente a autenticação multifator para adicionar uma camada extra de segurança, tornando mais difícil para invasores acessarem contas, mesmo que obtenham a senha correta.

11. Ataque XSS (Cross-Site Scripting)

Ataques de Cross-Site Scripting (XSS) exploram vulnerabilidades em aplicativos web para injetar scripts maliciosos em páginas visualizadas por outros usuários. Isso permite que invasores executem ações como roubo de cookies, sequestro de sessões ou redirecionamento de usuários para sites maliciosos.

• 40% das vulnerabilidades relatadas em aplicativos web em 2024 estavam relacionadas a XSS;
• Empresas afetadas por ataques XSS relataram perdas financeiras e danos à reputação devido ao comprometimento de dados de usuários.

Como se proteger contra ataques XSS?

• Validação e saneamento de entrada: implemente a validação e o saneamento adequados de todas as entradas de usuários, garantindo que dados maliciosos não sejam processados ou exibidos sem a devida filtragem;
• Uso de cabeçalhos de segurança: configure cabeçalhos HTTP, como Content Security Policy (CSP), para restringir fontes de scripts e reduzir o risco de execução de scripts não autorizados;
• Codificação de saída: ao exibir dados fornecidos pelo usuário, utilize técnicas de codificação de saída para prevenir a execução de scripts maliciosos no contexto do navegador.

12. Malware

Malware é um software malicioso projetado para infiltrar, danificar ou obter controle não autorizado de sistemas e dispositivos. Inclui diversas categorias, como vírus, worms, trojans, ransomware e spyware, cada uma com métodos específicos de ataque e objetivos maliciosos.

• Em 2024, 81% das organizações enfrentaram ameaças de malware, destacando a persistência dessa ameaça no cenário cibernético (KeepNetLabs).
• O custo médio de uma violação de dados causada por malware foi estimado em US$ 4,24 milhões, incluindo despesas com remediação, multas regulatórias e perda de negócios.

Como se proteger contra malwares?

• Software antivírus atualizado: utilize soluções antivírus e antimalware renomadas e mantenha-as atualizadas para detectar e remover ameaças conhecidas;
• Atualizações de software: mantenha todos os sistemas operacionais, aplicativos e plugins atualizados com os patches de segurança mais recentes para corrigir vulnerabilidades exploradas por malware;
• Cuidado com downloads e links: evite baixar arquivos ou clicar em links de fontes desconhecidas ou não confiáveis, pois podem conter malware disfarçado.

13. Cavalo de Troia

Um Cavalo de Troia é um tipo de malware que se disfarça como um software legítimo ou inofensivo para enganar os usuários e induzi-los a instalá-lo.

Uma vez executado, ele pode conceder aos invasores acesso remoto ao sistema, permitindo o roubo de dados, instalação de outros malwares ou controle completo do dispositivo.

Como se proteger contra cavalos de troia?

• Downloads confiáveis: baixe softwares apenas de fontes oficiais e confiáveis, evitando sites de terceiros que possam distribuir versões comprometidas;
• Verificação de arquivos: utilize ferramentas de verificação de arquivos para analisar programas antes da instalação, garantindo que não contenham códigos maliciosos;
• Monitoramento de atividades: esteja atento a comportamentos incomuns no sistema, como lentidão inesperada ou atividades não autorizadas, que podem indicar a presença de um Cavalo de Troia.

14. Spoofing

Spoofing é uma técnica em que o invasor falsifica a identidade de uma fonte confiável para enganar as vítimas. Isso pode ocorrer por meio de e-mails, chamadas telefônicas ou sites falsos que se passam por entidades legítimas, levando os usuários a divulgar informações sensíveis ou realizar ações prejudiciais.

Como se proteger contra spoofing?

• Verificação de identidade: sempre verifique a autenticidade de comunicações recebidas, especialmente aquelas que solicitam informações sensíveis ou ações imediatas;
• Tecnologias de autenticação: implemente protocolos como SPF, DKIM e DMARC para validar a legitimidade de e-mails recebidos e reduzir o risco de spoofing;
• Educação e conscientização: treine funcionários e usuários para reconhecer sinais de spoofing e adotar práticas seguras ao lidar com comunicações eletrônicas.

15. Zero Day

Uma vulnerabilidade Zero Day refere-se a uma falha de segurança em software ou hardware desconhecida pelos desenvolvedores, para a qual não existe uma correção disponível.

Geralmente, os invasores exploram essas vulnerabilidades antes que sejam descobertas e corrigidas, tornando-as particularmente perigosas.

• Em 2023, houve um aumento significativo no uso de exploits de Zero Day em ataques direcionados, afetando diversas indústrias;
• O tempo médio para a identificação e correção de vulnerabilidades Zero Day diminuiu, mas ainda representa um período crítico de exposição para as organizações.

Como se proteger contra vulnerabilidades zero day?

• Monitoramento contínuo: implemente sistemas de detecção de intrusões e monitore continuamente a rede para identificar atividades suspeitas que possam indicar a exploração de vulnerabilidades desconhecidas;
• Gestão de patches: mantenha uma política rigorosa de atualização de software e aplique patches de segurança assim que forem disponibilizados pelos fornecedores;
• Defesa em profundidade: adote uma abordagem de segurança em camadas, utilizando múltiplas medidas de proteção para mitigar o impacto potencial de exploits de zero day.

16. Ataque de espionagem

Ataques de espionagem cibernética são operações conduzidas por atores maliciosos, muitas vezes patrocinados por estados-nação, com o objetivo de obter acesso não autorizado a informações confidenciais ou sensíveis.

Esses ataques são altamente direcionados e podem permanecer indetectáveis por longos períodos, tendo como setores alvo a indústria de defesa, tecnologia e órgãos governamentais.

Os invasores frequentemente empregam técnicas avançadas de phishing, malware personalizado e exploração de vulnerabilidades zero day para infiltrar-se nas redes alvo.

Como se proteger contra ataques de espionagem?

• Segmentação de rede: divida a rede em segmentos menores para limitar o movimento lateral de invasores em caso de comprometimento;
• Monitoramento de atividades: utilize ferramentas avançadas de monitoramento para detectar comportamentos anômalos que possam indicar atividades de espionagem;
• Controle de acesso rigoroso: implemente políticas de controle de acesso baseadas no princípio do menor privilégio, garantindo que os usuários tenham apenas as permissões necessárias para suas funções.

17. Ataque de aniversário

O ataque de aniversário é um tipo de ataque cibernético que explora fraquezas em algoritmos de hash.

Um algoritmo de hash é uma função matemática que transforma dados em uma sequência de caracteres, conhecida como “hash”. Essa sequência é usada para verificar a integridade dos dados.

No entanto, os invasores podem manipular o algoritmo para produzir a mesma sequência de caracteres para diferentes conjuntos de dados. Isso significa que um invasor pode criar um arquivo falso que tenha o mesmo hash de um arquivo legítimo.

Dessa forma, sistemas de segurança que confiam nos hashes para verificar a autenticidade dos dados podem ser enganados e permitir a execução de ações perigosas.

Como se proteger contra ataques de aniversário?

• Uso de algoritmos de hash seguros: adote algoritmos de hash mais robustos, como sha-256 ou superiores, que oferecem maior resistência a colisões;
• Implementação de salting: adicione um valor aleatório aos dados antes de aplicar o hash, conhecido como “salting”, para aumentar a complexidade e dificultar ataques de colisão;
• Verificação de integridade adicional: utilize métodos complementares de verificação de integridade, como assinaturas digitais, para validar a autenticidade dos dados.

18. Decoy

Decoy, também conhecido como “isca” em português, é um ataque cibernético que envolve o uso de informações falsas ou enganosas para distrair as defesas de segurança e facilitar outros ataques.

Aqui, os invasores atraem a atenção e recursos das equipes de segurança, enquanto conduzem ataques mais prejudiciais em outras partes da rede.

• Exemplo: os hackers podem lançar um ataque de negação de serviço (ddos) como uma distração, levando as defesas de segurança a concentrarem seus esforços em mitigá-lo. Enquanto isso, realizam um ataque de ransomware em segundo plano, que era o grande objetivo.

Ataques de decoy são frequentemente utilizados em operações avançadas de ameaças persistentes (apt), onde os invasores buscam acesso prolongado e não detectado a redes alvo.

Como se proteger de ataques de decoy?

• Monitoramento holístico: implemente uma abordagem de monitoramento que abranja toda a rede, evitando focar exclusivamente em um único vetor de ataque;
• Análise comportamental: utilize ferramentas de análise comportamental para identificar atividades anômalas que possam indicar a presença de ataques de decoy;
• Resposta a incidentes: desenvolva e teste regularmente planos de resposta a incidentes que considerem a possibilidade de ataques de distração, garantindo uma reação equilibrada e eficaz.

Injeção de SQL (SQLi) é uma vulnerabilidade de segurança na web que permite que um invasor interfira nas consultas que um aplicativo realiza ao seu banco de dados. Isso pode permitir que um invasor visualize dados que normalmente não consegue recuperar. Isso pode incluir dados pertencentes a outros usuários ou quaisquer outros dados que o aplicativo possa acessar. Em muitos casos, um invasor pode modificar ou excluir esses dados, causando alterações persistentes no conteúdo ou comportamento do aplicativo.

Em algumas situações, um invasor pode escalar um ataque de injeção de SQL para comprometer o servidor subjacente ou outra infraestrutura de back-end. Isso também pode permitir ataques de negação de serviço.

Qual é o impacto de um ataque de injeção de SQL bem-sucedido?

Um ataque de injeção de SQL bem-sucedido pode resultar em acesso não autorizado a dados confidenciais, como:

• Senhas.
• Detalhes do cartão de crédito.
• Informações pessoais do usuário.

Ataques de injeção de SQL têm sido utilizados em muitas violações de dados de alto perfil ao longo dos anos. Isso tem causado danos à reputação e multas regulatórias. Em alguns casos, um invasor pode obter uma backdoor persistente nos sistemas de uma organização, levando a um comprometimento de longo prazo que pode passar despercebido por um longo período.

Como detectar vulnerabilidades de injeção de SQL

Você pode detectar injeção de SQL manualmente usando um conjunto sistemático de testes em cada ponto de entrada do aplicativo. Para isso, você normalmente enviaria:

• O caractere de aspas simples 'e procure por erros ou outras anomalias.
• Alguma sintaxe específica de SQL que avalia o valor base (original) do ponto de entrada e um valor diferente, e procura diferenças sistemáticas nas respostas do aplicativo.
• Condições booleanas como OR 1=1e OR 1=2, e procure diferenças nas respostas do aplicativo.
• Cargas úteis projetadas para disparar atrasos de tempo quando executadas em uma consulta SQL e procurar diferenças no tempo de resposta.
• Cargas úteis OAST projetadas para acionar uma interação de rede fora de banda quando executadas dentro de uma consulta SQL e monitorar quaisquer interações resultantes.

Como alternativa, você pode encontrar a maioria das vulnerabilidades de injeção de SQL de forma rápida e confiável usando o Burp Scanner.

Injeção de SQL em diferentes partes da consulta

A maioria das vulnerabilidades de injeção de SQL ocorre dentro da WHEREcláusula de uma SELECTconsulta. A maioria dos testadores experientes está familiarizada com esse tipo de injeção de SQL.

No entanto, vulnerabilidades de injeção de SQL podem ocorrer em qualquer local da consulta e em diferentes tipos de consulta. Outros locais comuns onde a injeção de SQL ocorre são:

• Em UPDATEdeclarações, dentro dos valores atualizados ou da WHEREcláusula.
• Em INSERTdeclarações, dentro dos valores inseridos.
• Em SELECTinstruções, dentro do nome da tabela ou coluna.
• Em SELECTdeclarações, dentro da ORDER BYcláusula.

Exemplos de injeção de SQL

Existem muitas vulnerabilidades, ataques e técnicas de injeção de SQL que ocorrem em diferentes situações. Alguns exemplos comuns de injeção de SQL incluem:

• Recuperando dados ocultos , onde você pode modificar uma consulta SQL para retornar resultados adicionais.
• Subvertendo a lógica do aplicativo , onde você pode alterar uma consulta para interferir na lógica do aplicativo.
• Ataques UNION , onde você pode recuperar dados de diferentes tabelas de banco de dados.
• Injeção cega de SQL , onde os resultados de uma consulta que você controla não são retornados nas respostas do aplicativo.

Recuperando dados ocultos

Imagine um aplicativo de compras que exibe produtos em diferentes categorias. Quando o usuário clica na categoria Presentes , seu navegador solicita a URL:https://insecure-website.com/products?category=Gifts

Isso faz com que o aplicativo faça uma consulta SQL para recuperar detalhes dos produtos relevantes do banco de dados:SELECT * FROM products WHERE category = 'Gifts' AND released = 1

Esta consulta SQL solicita que o banco de dados retorne:

• todos os detalhes ( *)
• da productsmesa
• onde categoryestáGifts
• e releasedé 1.

A restrição released = 1está sendo usada para ocultar produtos que não foram lançados. Podemos supor que, para produtos não lançados, released = 0.

O aplicativo não implementa nenhuma defesa contra ataques de injeção de SQL. Isso significa que um invasor pode construir o seguinte ataque, por exemplo:https://insecure-website.com/products?category=Gifts'--

Isso resulta na consulta SQL:SELECT * FROM products WHERE category = 'Gifts'--' AND released = 1

É crucial observar que _ --é um indicador de comentário em SQL. Isso significa que o restante da consulta é interpretado como um comentário, removendo-o efetivamente. Neste exemplo, isso significa que a consulta não inclui mais _ AND released = 1. Como resultado, todos os produtos são exibidos, incluindo aqueles que ainda não foram lançados.

Você pode usar um ataque semelhante para fazer com que o aplicativo exiba todos os produtos em qualquer categoria, incluindo categorias que eles não conhecem:https://insecure-website.com/products?category=Gifts'+OR+1=1--

Isso resulta na consulta SQL:SELECT * FROM products WHERE category = 'Gifts' OR 1=1--' AND released = 1

A consulta modificada retorna todos os itens onde o categoryé Gifts, ou 1é igual a 1. Como 1=1sempre, a consulta retorna todos os itens.

Aviso

Tenha cuidado ao injetar a condição OR 1=1em uma consulta SQL. Mesmo que pareça inofensivo no contexto em que você está injetando, é comum que aplicativos usem dados de uma única solicitação em várias consultas diferentes. Se a sua condição atingir uma instrução UPDATE“ou DELETE“, por exemplo, isso pode resultar em perda acidental de dados.

Subvertendo a lógica da aplicação

Imagine um aplicativo que permite que os usuários efetuem login com um nome de usuário e uma senha. Se um usuário inserir o nome de usuário wienere a senha bluecheese, o aplicativo verifica as credenciais executando a seguinte consulta SQL:SELECT * FROM users WHERE username = 'wiener' AND password = 'bluecheese'

Se a consulta retornar os detalhes de um usuário, o login foi bem-sucedido. Caso contrário, será rejeitado.

Nesse caso, um invasor pode efetuar login como qualquer usuário sem a necessidade de uma senha. Ele pode fazer isso usando a sequência de comentários SQL --para remover a verificação de senha da WHEREcláusula da consulta. Por exemplo, enviar o nome de usuário administrator'--e uma senha em branco resulta na seguinte consulta:SELECT * FROM users WHERE username = 'administrator'--' AND password = ''

Esta consulta retorna o usuário usernamee administratorefetua login com sucesso no invasor como esse usuário.

Recuperando dados de outras tabelas de banco de dados

Nos casos em que o aplicativo responde com os resultados de uma consulta SQL, um invasor pode usar uma vulnerabilidade de injeção de SQL para recuperar dados de outras tabelas no banco de dados. Você pode usar a UNIONpalavra-chave para executar uma consulta adicional SELECTe anexar os resultados à consulta original.

Por exemplo, se um aplicativo executa a seguinte consulta contendo a entrada do usuário Gifts:SELECT name, description FROM products WHERE category = 'Gifts'

Um invasor pode enviar a entrada:' UNION SELECT username, password FROM users--

Isso faz com que o aplicativo retorne todos os nomes de usuários e senhas, juntamente com os nomes e descrições dos produtos.

Ler mais

• Ataques UNION de injeção de SQL

Vulnerabilidades de injeção cega de SQL

Muitas instâncias de injeção de SQL são vulnerabilidades cegas. Isso significa que o aplicativo não retorna os resultados da consulta SQL nem os detalhes de quaisquer erros do banco de dados em suas respostas. Vulnerabilidades cegas ainda podem ser exploradas para acessar dados não autorizados, mas as técnicas envolvidas são geralmente mais complexas e difíceis de executar.

As seguintes técnicas podem ser usadas para explorar vulnerabilidades de injeção cega de SQL, dependendo da natureza da vulnerabilidade e do banco de dados envolvido:

• Você pode alterar a lógica da consulta para acionar uma diferença detectável na resposta do aplicativo, dependendo da veracidade de uma única condição. Isso pode envolver a inserção de uma nova condição em alguma lógica booleana ou o acionamento condicional de um erro, como uma divisão por zero.
• Você pode acionar condicionalmente um atraso no processamento da consulta. Isso permite inferir a veracidade da condição com base no tempo que o aplicativo leva para responder.
• Você pode acionar uma interação de rede fora de banda usando técnicas OAST. Essa técnica é extremamente poderosa e funciona em situações em que as outras técnicas não funcionam. Muitas vezes, você pode exfiltrar dados diretamente pelo canal fora de banda. Por exemplo, você pode inserir os dados em uma pesquisa de DNS para um domínio que você controla.

Ler mais

• Injeção cega de SQL

Injeção de SQL de segunda ordem

A injeção de SQL de primeira ordem ocorre quando o aplicativo processa a entrada do usuário de uma solicitação HTTP e incorpora a entrada em uma consulta SQL de maneira insegura.

A injeção de SQL de segunda ordem ocorre quando o aplicativo recebe a entrada do usuário de uma solicitação HTTP e a armazena para uso futuro. Isso geralmente é feito colocando a entrada em um banco de dados, mas nenhuma vulnerabilidade ocorre no ponto onde os dados são armazenados. Posteriormente, ao processar uma solicitação HTTP diferente, o aplicativo recupera os dados armazenados e os incorpora a uma consulta SQL de forma insegura. Por esse motivo, a injeção de SQL de segunda ordem também é conhecida como injeção de SQL armazenada.

A injeção de SQL de segunda ordem geralmente ocorre em situações em que os desenvolvedores estão cientes das vulnerabilidades de injeção de SQL e, portanto, lidam com segurança com o posicionamento inicial da entrada no banco de dados. Quando os dados são processados ​​posteriormente, eles são considerados seguros, pois foram previamente inseridos com segurança no banco de dados. Nesse ponto, os dados são manipulados de forma insegura, pois o desenvolvedor os considera, erroneamente, confiáveis.

Examinando o banco de dados

Alguns recursos principais da linguagem SQL são implementados da mesma forma em plataformas de banco de dados populares, e muitas maneiras de detectar e explorar vulnerabilidades de injeção de SQL funcionam de forma idêntica em diferentes tipos de banco de dados.

No entanto, também existem muitas diferenças entre bancos de dados comuns. Isso significa que algumas técnicas para detectar e explorar injeção de SQL funcionam de forma diferente em diferentes plataformas. Por exemplo:

• Sintaxe para concatenação de strings.
• Comentários.
• Consultas em lote (ou empilhadas).
• APIs específicas da plataforma.
• Mensagens de erro.
• Após identificar uma vulnerabilidade de injeção de SQL, geralmente é útil obter informações sobre o banco de dados. Essas informações podem ajudar você a explorar a vulnerabilidade.
• Você pode consultar os detalhes da versão do banco de dados. Métodos diferentes funcionam para diferentes tipos de banco de dados. Isso significa que, se você encontrar um método específico que funcione, poderá inferir o tipo de banco de dados. Por exemplo, no Oracle, você pode executar:SELECT * FROM v$version
• Você também pode identificar quais tabelas de banco de dados existem e as colunas que elas contêm. Por exemplo, na maioria dos bancos de dados, você pode executar a seguinte consulta para listar as tabelas:SELECT * FROM information_schema.tables
• Ler mais
• Examinando o banco de dados em ataques de injeção de SQL
• Folha de dicas de injeção de SQL
• Injeção de SQL em diferentes contextos
• Nos laboratórios anteriores, você usou a string de consulta para injetar seu payload SQL malicioso. No entanto, você pode realizar ataques de injeção de SQL usando qualquer entrada controlável que seja processada como uma consulta SQL pelo aplicativo. Por exemplo, alguns sites recebem entradas em formato JSON ou XML e as usam para consultar o banco de dados.
• Esses diferentes formatos podem fornecer diferentes maneiras de ofuscar ataques que, de outra forma, seriam bloqueados por WAFs e outros mecanismos de defesa. Implementações fracas frequentemente procuram palavras-chave comuns de injeção de SQL na solicitação, portanto, você pode contornar esses filtros codificando ou escapando caracteres nas palavras-chave proibidas. Por exemplo, a injeção de SQL baseada em XML a seguir usa uma sequência de escape XML para codificar o Scaractere em SELECT:<stockCheck> <productId>123</productId> <storeId>999 &#x53;ELECT * FROM information_schema.tables</storeId> </stockCheck>
• Isso será decodificado no lado do servidor antes de ser passado ao interpretador SQL.

Como evitar injeção de SQL

Você pode evitar a maioria das instâncias de injeção de SQL usando consultas parametrizadas em vez de concatenação de strings dentro da consulta. Essas consultas parametrizadas também são conhecidas como “instruções preparadas”.

O código a seguir é vulnerável à injeção de SQL porque a entrada do usuário é concatenada diretamente na consulta:String query = "SELECT * FROM products WHERE category = '"+ input + "'"; Statement statement = connection.createStatement(); ResultSet resultSet = statement.executeQuery(query);

Você pode reescrever este código de uma forma que impeça que a entrada do usuário interfira na estrutura da consulta:PreparedStatement statement = connection.prepareStatement("SELECT * FROM products WHERE category = ?"); statement.setString(1, input); ResultSet resultSet = statement.executeQuery();

Você pode usar consultas parametrizadas para qualquer situação em que entradas não confiáveis ​​apareçam como dados dentro da consulta, incluindo a WHEREcláusula e os valores em uma instrução INSERTOR UPDATE. Elas não podem ser usadas para lidar com entradas não confiáveis ​​em outras partes da consulta, como nomes de tabelas ou colunas, ou na ORDER BYcláusula. A funcionalidade do aplicativo que coloca dados não confiáveis ​​nessas partes da consulta precisa adotar uma abordagem diferente, como:

• Valores de entrada permitidos na lista de permissões.
• Usando lógica diferente para entregar o comportamento necessário.

Para que uma consulta parametrizada seja eficaz na prevenção de injeção de SQL, a string usada na consulta deve ser sempre uma constante codificada. Ela nunca deve conter dados variáveis ​​de nenhuma origem. Não caia na tentação de decidir caso a caso se um dado é confiável e continue usando a concatenação de strings na consulta para os casos considerados seguros. É fácil cometer erros sobre a possível origem dos dados ou que alterações em outro código contaminem dados confiáveis.

No filme “Horse Feathers” (1932) dos Irmãos Marx, Wagstaff (Groucho), o novo presidente da faculdade, visita um bar clandestino. Baravelli (Chico) acidentalmente revela que a senha de entrada é “Swordfish”. No entanto, depois que Wagstaff entra e Baravelli sai, Wagstaff altera a senha, prontamente a esquecendo. Esse contratempo resulta em ambos ficarem trancados do lado de fora. Essa comédia inicial exemplifica, embora de forma exagerada, as falhas na natureza humana e no comportamento quando se trata de senhas.

Senhas fracas têm sido um problema consistente para a segurança de dados. De acordo com diversos estudos e relatórios ao longo dos anos, senhas fracas ou reutilizadas frequentemente são os principais culpados em muitas violações de dados. Neste artigo, vamos dar uma olhada nas diferenças entre senhas, frases-passe e chaves de acesso, e como o poder do “comprimento” é o fator chave para a segurança, independentemente de você usar senhas ou frases-passe.

O elo mais fraco

O elo mais fraco na segurança de ativos digitais é frequentemente dito ser o “elemento humano”. Apesar da tecnologia avançada e dos protocolos de segurança sofisticados, comportamentos humanos, erros e negligências podem introduzir vulnerabilidades que atores maliciosos podem explorar. Entre a lista de vulnerabilidades apresentadas pelo elemento humano, práticas de senhas inadequadas estão entre as principais. Muitas pessoas ainda usam senhas fracas ou reutilizam senhas em vários sites e serviços, facilitando para os atacantes obter acesso não autorizado.

Por exemplo, em 2023, 64% das senhas continham apenas de oito a 11 caracteres. Quase 40% dos usuários admitem compartilhar suas senhas pessoais com outros, e 61% dos afetados por hacking de senha tinham senhas com menos de oito caracteres.

Também, de acordo com o Relatório de Ameaças Cibernéticas do segundo trimestre de 2023 (1º de abril a 30 de junho) da ReliaQuest, foi observado um aumento significativo na atividade de ransomware, marcando-o como o trimestre com o maior número de vítimas listadas em sites de vazamento de dados de ransomware. O grupo de ransomware ALPHV, afiliado ao “DarkSide” e “BlackMatter”, pratica a extorsão tripla: ransomware, roubo de dados e ataques de negação de serviço (DDoS). ALPHV emprega os algoritmos de criptografia AES e ChaCha20, visando sistemas operacionais como Windows, ESXi, Debian e outros. Eles infiltram sistemas através de vulnerabilidades, senhas comprometidas ou intermediários de acesso inicial (IABs), usando ferramentas como WebBrowserPassView, Cobalt Strike e Mimikatz para aquisição de senha, acesso inicial e escalonamento de privilégios.

Também, de acordo com o Relatório de Ameaças Cibernéticas do segundo trimestre de 2023 (1º de abril a 30 de junho) da ReliaQuest, foi observado um aumento significativo na atividade de ransomware, marcando-o como o trimestre com o maior número de vítimas listadas em sites de vazamento de dados de ransomware. O grupo de ransomware ALPHV, afiliado ao “DarkSide” e “BlackMatter”, pratica a extorsão tripla: ransomware, roubo de dados e ataques de negação de serviço (DDoS). O ALPHV emprega os algoritmos de criptografia AES e ChaCha20, visando sistemas operacionais como Windows, ESXi, Debian e outros. Eles infiltram sistemas através de vulnerabilidades, senhas comprometidas ou intermediários de acesso inicial (IABs), usando ferramentas como WebBrowserPassView, Cobalt Strike e Mimikatz para aquisição de senha, acesso inicial e escalonamento de privilégios.

Por fim, o custo médio global de uma violação de dados em 2023 foi recorde de US$ 4,45 milhões. Além disso, um estudo de 2019 do Instituto Ponemon destacou que empresas nos Estados Unidos, Reino Unido, Alemanha e França gastam, em média, cerca de US$ 5,2 milhões anualmente respondendo a problemas relacionados a senhas, revelando o impacto econômico das práticas de senha fracas.

Autenticação do Usuário

A autenticação do usuário é crucial para a segurança online e, apesar dos movimentos de educação e conscientização, os usuários ainda praticam uma etiqueta de senha inadequada e às vezes são vítimas de e-mails de phishing, resultando em acesso não autorizado, infecções por malware e violações de dados. Além disso, negligências na segurança física, como perder dispositivos — por exemplo, laptops ou unidades USB — ou deixá-los sem supervisão, podem resultar em violações de dados. Sem treinamento adequado em segurança cibernética, os funcionários podem não reconhecer ameaças de segurança potenciais ou entender as melhores práticas para mitigá-las.

Para abordar todos esses elementos humanos, a educação contínua, o treinamento e as campanhas de conscientização em segurança cibernética são essenciais. Ferramentas como autenticação multifator (MFA) também podem mitigar os riscos associados a erros humanos. Ainda assim, cultivar uma cultura corporativa e pessoal consciente da segurança é uma das estratégias mais eficazes para proteger ativos digitais.

Melhores Práticas de Autenticação

Mover-se em direção a uma cultura consciente da segurança requer repensar nossas abordagens à autenticação. A autenticação das credenciais de login visa verificar a identidade de um indivíduo, garantindo que o acesso ao sistema seja concedido apenas a usuários legítimos. Compreender as melhores práticas para os três principais métodos de autenticação de usuários — senhas, frases-passe e chaves de acesso — é crucial para evitar acesso não autorizado ao sistema e frustrar possíveis atacantes.

As senhas são sequências de caracteres criadas pelo usuário, enquanto as frases-passe são sequências baseadas em palavras mais longas para uma segurança aprimorada. As chaves de acesso empregam criptografia de chave pública, armazenadas em dispositivos, e usam biometria ou chaves de segurança como o segundo fator de autenticação em vez de códigos.

O fator chave para a segurança, seja usando senhas ou frases-passe, é o comprimento. Aumentar o comprimento de uma senha eleva exponencialmente a dificuldade de força bruta. As frases-passe têm força equivalente ou melhor do que senhas do mesmo comprimento. Senhas muito longas, com mais de 20 caracteres, ou frases de senha com mais de 5 palavras oferecem proteção que pode levar mais tempo do que uma vida humana para serem quebradas apenas por força bruta (Tabela 1).

Tabela 1: Comparação dos tempos estimados de quebra de força bruta para senhas versus senhas de diferentes comprimentos com números, letras maiúsculas e minúsculas e símbolos. Observe que os tempos estimados são aproximados, pois a velocidade do crack depende muito do hardware e das técnicas de hacking. (Fonte: Autor)

Comprimento da senha/frase-passe	Tempo estimado de crack
Senha de 8 caracteres	Segundos a minutos
Senha de 12 caracteres	Horas a dias
Senha de 16 caracteres	Anos
Senha de 20 caracteres	Séculos
Frase-passe de 4 palavras	Séculos
Frase-passe de 5 palavras	Milênios
Frase-passe de 6 palavras	Milhões de anos
Frase-passe de 7 palavras	Bilhões de anos

Principais Características de Senhas, Frases-passe e Chaves de Acesso

Senhas

• Autenticação: Senhas são um dos métodos mais comuns para autenticação de usuários. Elas ajudam os sistemas a verificar a identidade dos usuários.
• Complexidade: Uma senha forte geralmente consiste em uma mistura de letras maiúsculas, minúsculas, números e símbolos, o que torna difícil para usuários não autorizados adivinhá-la ou quebrá-la usando vários métodos de hacking.
• Criptografia: Em sistemas seguros, senhas são frequentemente armazenadas de forma criptografada. Quando os usuários inserem sua senha, o sistema criptografa a entrada e a compara com a versão criptografada armazenada.
• Casos de Uso: Senhas são utilizadas em vários contextos digitais, incluindo o login em computadores, contas de e-mail, plataformas de mídia social, serviços bancários online e muito mais.
• Pontos Fracos de Segurança: Devido ao seu uso generalizado e à construção muitas vezes fraca, senhas são um alvo frequente para ciberataques, como ataques de força bruta, ataques de dicionário e phishing. Além disso, senhas podem ser difíceis de lembrar.
• Melhores Práticas: É recomendável ter senhas únicas para diferentes contas, atualizá-las regularmente e evitar o uso de informações que sejam descobertas facilmente, como datas de nascimento ou nomes.
• Prova Adicional de Identidade: Senhas estão cada vez mais sendo combinadas com outros métodos de autenticação, como autenticação de dois fatores (2FA), para melhorar a segurança.

Frases-passe

• Comprimento: Frases-passe geralmente são mais longas do que senhas. Esse comprimento adicional pode torná-las mais seguras contra ataques de força bruta.
• Facilidade de Memorização: Frases de senha frequentemente consistem em várias palavras ou uma frase, tornando-as mais fáceis de lembrar do que senhas complexas. Por exemplo, “DiaChuvosoCéuAzul!” é mais fácil de lembrar do que “B$Rd#91!”.
• Uso: Frases de senha funcionam bem para senhas principais ou chaves de criptografia.
• Entropia: Boas frases de senha têm alta entropia, o que significa que são aleatórias e difíceis de prever. Isso as torna resistentes a ataques de dicionário, nos quais um atacante tenta cada palavra do dicionário.
• Uso em Criptografia: Frases-passe são frequentemente usadas como componente memorável pelo humano na geração de chaves de criptografia fortes. Por exemplo, na criptografia PGP (Pretty Good Privacy), uma Frases-passe criptografa a chave privada.
• Facilidade de Digitação: Como frequentemente são compostas por palavras regulares ou frases, frases de senha podem ser mais rápidas e menos propensas a erros em comparação com senhas com uma mistura de caracteres, números e símbolos.
• Comunalidade: Nem todas as frases-passe são seguras. “senha1234” é tecnicamente uma frase-passe, mas não é segura. Boas frases de senha devem evitar o uso de frases ou citações comuns e idealmente incluir uma mistura de tipos de caracteres (maiúsculas, minúsculas, números, símbolos) quando o sistema permite.

Chaves de Acesso

• Criptografia de Chave Pública: Chaves de acesso frequentemente se relacionam com pares de chaves criptográficas consistindo de uma chave pública e uma chave privada. A chave pública pode ser compartilhada com qualquer pessoa, enquanto a chave privada permanece confidencial.
• Baseado em Dispositivo: Chaves de acesso podem ser geradas e armazenadas no dispositivo do usuário, como um smartphone ou token de segurança de hardware. Chaves de acesso eliminam a reutilização de senhas em várias contas.
• Autenticação de Dois Fatores (2FA): Em algumas implementações, chaves de acesso são usadas como parte de um processo de 2FA. Além de algo que você sabe (como uma senha), envolve algo que você possui, como um dispositivo que gera ou armazena uma chave de acesso, como um YubiKey.
• Integração Biométrica: Alguns sistemas de chaves de acesso incorporam biometria como uma camada de segurança adicional. Um dispositivo pode exigir uma digital ou reconhecimento facial antes de exibir ou usar a chave de acesso.
• Uso em Autenticação Temporária: Chaves de acesso às vezes podem ser códigos temporários ou de uso único gerados para o propósito de uma sessão ou transação específica.
• Evitar Segredos Compartilhados: Ao contrário de senhas, que são compartilhadas com o servidor para validação (embora geralmente em forma hash), chaves de acesso, especialmente no contexto de criptografia de chave pública, evitam a necessidade de compartilhar segredos. O servidor pode verificar a identidade do usuário sem nunca saber ou armazenar a chave de acesso exata. Chaves de acesso são resilientes contra phishing e vazamentos, são mais fáceis de usar e mais seguras.

Conclusão

As senhas são uma parte predominante de nossas vidas, e embora os incessantes requisitos para atualizá-las possam parecer tediosos, levar a autenticação a sério é o primeiro passo para proteger nossos dados. Senhas fracas são uma vulnerabilidade significativa em termos de cibersegurança que acarreta custos significativos. A autenticação segura do usuário é primordial na era digital. Senhas, frases-passe e chaves de acesso desempenham papéis vitais em garantir que apenas usuários autorizados acessem sistemas. Cada um oferece vantagens, mas sua eficácia depende do uso e compreensão adequados. Ainda assim, independentemente do método de autenticação escolhido, o comprimento é um fator de segurança crucial. O comprimento de uma senha influencia diretamente sua resiliência contra ataques de força bruta. Embora existam inúmeras melhores práticas para autenticação, a maior defesa da cibersegurança é o comprimento da senha.

Saiba mais sobre o que é um exploit, quais os principais tipos e categorias de exploits e como eles prejudicam sua segurança online e, claro, como se proteger da melhor maneira possível contra este tipo de ciberameaça.

O que é exploit?

Definição de exploit

Exploits são códigos, pacotes de dados ou programas projetados para tirar vantagem de vulnerabilidades, bugs e erros de sistemas.

No Brasil, o termo exploitar é muito usado para se referir à ação de tirar proveito destes erros e falhas dos programas, aplicativos, websites e sistemas.

Os hackers utilizam exploits com propósitos maliciosos. Através dos exploits, um hacker pode instalar malware em um dispositivo e executar ações maliciosas contra a vontade da vítima (como roubar senhas e dados, alterar configurações, instalar ransomware, criar backdoors, entre outras coisas).

Exploit também designa o processo de utilizar as vulnerabilidades de um sistema para atacar pessoas, empresas ou organizações e obter acesso não-autorizado aos sistemas para injetar vírus. O objetivo de um exploit é violar a Tríade CIA (confidentiality, integrity and availability – confidencialidade, integridade e disponibilidade), os três pilares básicos das práticas de segurança online e de proteção dos dados, que define que os dados das pessoas devem ser mantidos em confidencialidade, com integridade e disponíveis apenas para pessoas com acesso legítimo.

Além disto, os exploits podem afetar vários níveis dos ambientes digitais. Eles podem usar vulnerabilidades tanto de hardware quanto de software, interceptar redes ou permitir a execução de ataques cibernéticos com o uso de táticas de engenharia social. Eles também podem ser executados offline, quando um cibercriminoso consegue acesso ao ambiente físico no qual um dispositivo se encontra e, assim, utilizar as vulnerabilidades de hardware e software sem precisar de nenhuma conexão com a internet.

Exploit é um termo bastante amplo e engloba vários tipos de ciberataques, inclusive ataque DDoS, que prejudicam ou até mesmo interrompem serviços e atividades. Eles geram imensos prejuízos financeiros, de infraestrutura e também psicológicos com os vários efeitos causados pelo roubo e exposição de dados pessoais, o que faz com que eles sejam uma das principais ciberameaças da atualidade.

Vulnerabilidades versus exploits

Apesar de parecidos, estes termos não designam as mesmas coisas. Vulnerabilidades são pontos fracos em um sistema, pontos que podem ser descobertos por hackers, enquanto exploit designa o ato de usar estes pontos fracos para injetar malware ou acessar sistemas de forma ilegal. Uma vulnerabilidade pode existir sem que seja explorada. Ou seja: todo exploit é uma exploração de uma vulnerabilidade, mas nem toda vulnerabilidade é usada para um exploit.

Muitas vezes, os hackers usam kits de exploits para descobrir vulnerabilidades. Estes kits usam software que pode detectar vulnerabilidades em sistemas. Depois de verificar um dispositivo e descobrir estas fraquezas, o kit de exploit pode injetar malware nele. Em muitos casos, os kits de exploit são usados para disseminar ransomware.

Existe um período entre o lançamento de um software ou hardware, a identificação de falhas e a correção delas. Neste período é que a maioria das vulnerabilidades são descobertas e usadas pelos cibercriminosos como exploits. E até mesmo quando os desenvolvedores descobrem os erros nos programas e lançam patchs (atualizações) para corrigi-los, muitos usuários podem continuar vulneráveis ao não fazer estas atualizações e continuar com as versões bugadas.

Exploits e Malware: eles são a mesma coisa?

Exploits e malware não são a mesma coisa. Exploit é a ação de utilizar uma vulnerabilidade para cometer ataques cibernéticos e malware (malicious software, ou programa malicioso) designa todo tipo de código criado com propósitos maliciosos.

Muitos cibercriminosos podem usar malware para aproveitar falhas e vulnerabilidades em exploits. Se um sistema desatualizado facilita alterar configurações de administrador, um cibercriminoso pode aproveitar esta brecha para usar um exploit e instalar malware no sistema que também sirva para registrar tudo que a vítima digita no teclado (um keylogger) e descobrir suas senhas, por exemplo.

Assim, o malware é um recurso que pode ser usado para ampliar os danos e ações nocivas através de exploits, mas não são a mesma coisa que um exploit em si.

Nós podemos entender os exploits como uma falha de segurança e o malware como uma arma para atacar estas fraquezas de forma mais agressiva.

Como os ataques de exploit funcionam

Como os ataques de exploit são bastante variados e abrangem toda uma gama de ataques cibernéticos, é difícil determinar um único processo de execução para eles. Mas há um padrão observável que nós podemos traçar para todos ou quase todos os ataques de exploit.

Os exploits atuam como a identificação de brechas e falhas na arquitetura de hardware e software, permitindo a utilização destas brechas de segurança para a execução de ciberataques para afetar os programas, sistemas, redes e dispositivos nos quais estas falhas são encontradas. Depois que estas falhas são encontradas, há vários ciberataques que podem ser executados.

Os exploits podem ser executados através de EoP (Escalation of Privileges, ou ‘’escalonamento de privilégios’’), que invade um sistema em busca de permissões administrativas, recursos e dados que usuários com níveis mais limitados de acesso não conseguem contactar.

No spoofing, os cibercriminosos criam endereços falsos de IP (internet protocol, ou ‘’protocolo de internet’’) para causar interferências na comunicação entre os servidores.

Eles também podem agir através de ataques de DoS (Denial of Service, ou negação de serviço), causando um fluxo imenso de tráfego para prejudicar, impedir ou até mesmo interromper totalmente o funcionamento de um sistema, servidor, rede, plataforma ou dispositivo, impedindo que os usuários utilizem o serviço ou conteúdo afetado.

Há também os cracks, que burlam mecanismos de segurança e habilitam programas limitados para o uso indeterminado. Eles são muito disseminados em versões pirateadas de software e sistemas operacionais. Apesar de que nem todos afetam negativamente os usuários, muitos programas piratas vêm com malware instalado, o que facilita ciberataques contra as pessoas que utilizam estes recursos.

Tipos de exploits

De forma similar ao que ocorre com outros tipos de ciberataques, os exploits podem ser categorizados em grupos diferentes. O modo mais comum de classificação é o de vulnerabilidades conhecidas e exploits do tipo zero-day:

Vulnerabilidades conhecidas

São as vulnerabilidades listadas na CVE (Common Vulnerabilities and Exposures, ou Vulnerabilidades e Exposições Comuns), um índice para listar vulnerabilidades e corrigi-las. Entretanto, quando estes erros não são corrigidos, cibercriminosos podem acessá-los e usá-los como exploits. E, mesmo que a vulnerabilidade seja corrigida através de atualizações, usuários que não fazem os updates ainda podem ser afetados.

Exploit zero-day

Um exploit do tipo zero-day é um exploit que ainda não foi descoberto pelos desenvolvedores. São exploits que ainda não puderam ser corrigidos pelos desenvolvedores, mas que são descobertos e que podem ser usados para propósitos maliciosos.

Quando os cibercriminosos descobrem estes pontos fracos, eles não divulgar estas falhas para que elas sejam corrigidas. Pelo contrário: eles os mantêm em segredo para aproveitar ao máximo os potenciais de exploits.

Um exemplo notável de um exploit de dia zero é o EternalBlue, que se aproveitou de uma vulnerabilidade no protocolo SMB da Microsoft e permaneceu sem ser detectado por um longo período, permitindo que fosse usado em ataques cibernéticos generalizados pelo globo.

Exploit remoto

Estes exploits são executados em uma rede de internet e exploram falhas sem a necessidade de um acesso prévio ao sistema afetado. Eles podem ser executados contra vários usuários simultaneamente. Por exemplo: um cibercriminoso pode escanear um servidor remotamente, conseguir acesso a ele e, aí, usar um exploit local para injetar malware.

Exploit local

Esta categoria de exploits requer acesso prévio ao sistema vulnerável e aumenta os privilégios administrativos do cibercriminoso.

Exploit de cliente

Os exploits de cliente envolvem interação direta com o dispositivo que será atacado. No geral, estes exploits são executados através de estratégias de engenharia social. Nestes casos, os hackers criminosos podem entrar em contato com as vítimas, se passar por alguém (como representantes ou funcionários de uma empresa, por exemplo) e convencê-las a informar dados pessoais e até mesmo senhas.

Exploit de Spoofing

São exploits colocados em programas maliciosos que se disfarçam de programas legítimos. Eles são muito usados para monitorar as ações das vítimas e permitir aos cibercriminosos espionar e roubar as informações das pessoas.

Exploit privado

São exploits vendidos em grupos com acesso restrito, geralmente localizados em fóruns específicos ou na Deep Web/Dark Web.

Exploit público

São exploits vendidos em grupos com acesso público, geralmente localizados em fóruns específicos ou comunidades de segurança com acesso aberto a todos.

Exploit BlueKeep

É um tipo específico de exploit bastante famoso ao explorar falhas no RDP (Remote Desktop Protocol, ou ‘’protocolo remoto de desktop’’), usado pela Microsoft. Ele permitia aos cibercriminosos realizar acessos remotos nos computadores das vítimas.

Exploit de DoS/DDoS

São exploits que usam brechas de segurança em programas que aceitam conexões remotas com o objetivo de causar sobrecarga de acessos e, assim, forçar a interrupção dos recursos afetados.

Exploits de cracks

São usados para burlar mecanismos de segurança de programas e sistemas operacionais pagos, permitindo o uso irregular dos mesmos.

Exploits de EoP

São exploits utilizados para explorar vulnerabilidades em sistemas operacionais e conceder privilégios administrativos aos cibercriminosos, ampliando as possibilidades de ação deles.

Exploit WannaCry

Usado para infectar mais de 100000 computadores em mais de 150 países, o WannaCry criptografa e bloqueia os dispositivos afetados, deixando-os inacessíveis às vítimas. Ele não é mais considerado um exploit ativo, mas ainda pode afetar usuários de versões mais antigas de sistemas operacionais.

Exploit EternalBlue

Ainda ativo, o EternalBlue é outro exploit bastante disseminado. Ele usa uma vulnerabilidade encontrada no serviço de compartilhamento de arquivos e impressoras de versões desatualizadas do Windows e permite o acesso remoto e a execução de códigos maliciosos no sistema afetado.

Quanto custam os exploits?

Quando os cibercriminosos descobrem um exploit, eles em geral comercializam estas informações e métodos no mercado paralelo (em geral, na deep web e na dark web). Os valores dependem muito do tipo de exploit e do nível de complexidade da vulnerabilidade.

O Angler, por exemplo, foi comercializado por valores que iam de US$3500 a US$7000 dólares por mês. Como muitos dos exploits têm pouca duração (já que os erros mais sérios costumam ser identificados e corrigidos pelas empresas com bastante rapidez), eles podem ser vendidos por preços muito caros para compensar esta baixa durabilidade de utilidade deles.

Como identificar ataques de exploit

Ataques de exploit são muito diversos, mas há várias formas de identificar se você foi vítima de um ataque deste tipo. Os métodos mais fáceis para identificar ataques de exploit são a observação de atividades de arquivos suspeitos presentes em um sistema e uma verificação dos padrões de tráfego na rede.

Além disto, há alguns sintomas muito importantes que ajudam a identificar quando um ataque exploit ocorre e que podem ser indícios deste tipo de exploração de vulnerabilidades:

• Perda de performance: se o seu dispositivo tiver uma queda de desempenho (como maior lentidão, demora para executar programas, travamentos durante a navegação na internet, entre outros), então ele pode ter sido afetado por ataques de exploit.
• Alterações nas configurações: se houver alterações estranhas nas configurações do seu dispositivo, rede ou sistema operacional, isto pode ser um sinal grave de que há vulnerabilidades sendo exploradas por cibercriminosos.
• Pop-ups constantes: se você vê vários pop-ups e publicidade indesejada na sua tela, então seu sistema pode ter sido atingido por exploit.
• Menos espaço de armazenamento: a perda súbita de espaço de armazenamento no seu dispositivo também é um sinal de ataque de exploit.
• Perda de dados móveis: em dispositivos móveis, a perda de pacote de dados para internet também é um sinal de ataque de exploit, já que eles permitem instalar malware no celular que usa e consome recursos de conectividade.
• Menor durabilidade da bateria: para smartphones, laptops, tablets e notebooks, a perda de duração da bateria é outro forte sintoma de ataque de exploit, já que os recursos instalados pela exploração de vulnerabilidades faz com que haja uma sobrecarga de uso dos dispositivos, alterando de forma negativa a durabilidade e a vida útil das baterias.
• Mau funcionamento de programas, sistemas e aplicativos: se você encontrar dificuldades para realizar tarefas simples e os programas e recursos não funcionarem da forma correta, então eles podem ter sido alterados por exploits.

Ferramentas anti-exploit

A melhor defesa contra os exploits é a prevenção. E é por isto que investir em soluções e ferramentas anti-exploit é fundamental, tanto para pessoas quanto para empresas e organizações.

Há várias opções disponíveis no mercado, deste software antivírus profissional capaz de identificar a presença de programas maliciosos usados em ataques de exploit até software criado especificamente para combater exploits.

As soluções de cibersegurança anti-exploits realizam análises de comportamento e observação de padrões tanto dos usuários quanto do dispositivo, análises dos códigos, verificação das chamadas no sistema, isolamento dos ambientes de execução de programas e recursos (sandboxing) e outras ações com o objetivo tanto de prevenir estes ataques quanto de tomar ações reativas quando estes exploits são identificados.

Mas é essencial ter em mente que os programas anti-exploit não substituem outras soluções de segurança, como firewall, antivírus e VPN (além das atualizações de sistema e de programas e aplicações). Eles são recursos de segurança complementares que devem ser usados em conjunto com outros recursos em um ambiente completo de cibersegurança.

Como se proteger contra exploits

Você pode e deve adotar algumas medidas preventivas para ajudar a te proteger contra exploits:

• Use um software confiável de cibersegurança: use antivírus profissionais, ferramentas e soluções de cibersegurança que sejam robustas, confiáveis e fornecidas por desenvolvedores confiáveis.
• Use uma boa VPN: uma ferramenta VPN ajuda a melhorar sua cibersegurança.
• Baixe todas as atualizações: é fundamental manter seus programas, navegadores web, aplicações e sistemas operacionais sempre atualizados. Ative as opções de atualizações automáticas sempre que possível. Isto ajuda a corrigir as vulnerabilidades encontradas e, assim, evitar as possibilidades de ataques de exploit contra o seu dispositivo.
• Use senhas fortes: ao invés de combinações óbvias, crie senhas fortes para suas contas e acessos. Use combinações de letras maiúsculas e minúsculas, numerais e caracteres especiais. Também vale a pena armazenar suas senhas de forma segura em um gerenciador de senhas, como o NordPass.
• Habilite a autenticação em dois fatores: para evitar ataques de exploit contra suas contas, é muito importante habilitar a autenticação de dois fatores (ou autenticação multifatorial) sempre que esta opção estiver disponível. Assim, mesmo que os cibercriminosos conseguirem roubar seus dados de acesso, será necessário realizar um procedimento adicional de autenticação ao qual só você terá acesso.
• Evite comportamentos de risco: o bom senso crítico é sua melhor ferramenta de defesa. Evite hábitos de risco como clicar em qualquer link, baixar qualquer coisa e instalar programas de origem duvidosa nos seus dispositivos. Grande parte dos ciberataques depende de erros nos programas e no hardware, mas uma parte significativa dos ataques e golpes só conseguem ser executados quando as próprias vítimas agem de maneira que permite ou facilita estes ataques.
• Use criptografia de ponta-a-ponta: é muito importante proteger seus dados com recursos como a tecnologia de criptografia de ponta-a-ponta, que criptografa seus dados mesmo que eles sejam transportados por canais menos seguros, impedindo o acesso de interceptadores. Verifique se estes recursos são disponibilizados pelos programas e aplicativos que você usa.

Como corrigir um exploit

Muitos exploits dependem da correção por parte dos desenvolvedores. Então, o poder de ação dos usuários dos softwares e hardwares afetados é muito limitado em relação a isto. Entretanto, há passos que podem ser dados para diminuir, minimizar ou reverter os danos causados por ataques de exploits.

Mantenha seus programas atualizados

Atualize os programas para fazer as correções de vulnerabilidades usadas pelos exploits. Se você utilizar uma versão desatualizada de um programa, aplicativo, navegador web ou sistema operacional, você vai continuar vulnerável aos ataques de exploit mesmo que estas brechas tenham sido corrigidas pelos desenvolvedores e disponibilizadas em versões mais atualizadas.

Faça uma verificação no sistema

Depois, execute uma verificação completa no seu dispositivo com um software antivírus eficiente. Isto é essencial para encontrar códigos maliciosos usados no ataque de exploit.

Remova o malware

Caso você encontre qualquer arquivo, programa ou código malicioso no seu dispositivo depois de realizar a verificação no sistema, faça a remoção do malware através dos recursos do antivírus, das ferramentas de segurança do próprio sistema operacional ou da ferramenta anti-exploit.

Faça uma formatação do sistema

Para casos mais graves, pode ser que você precise fazer uma formatação completa do seu dispositivo. Faça um backup dos seus arquivos mais importantes, execute a formatação e reinstale seu sistema operacional e os programas com as atualizações mais recentes.

Conclusões finais

Todo recurso de hardware e software tem falhas. Afinal, são produções humanas e, como tal, estão sujeitas a erros. Podem ser desde erros simples nos códigos que geram problemas de layout e visualização, até erros mais graves que prejudicam todo o funcionamento do recurso, até mesmo expondo os usuários a uma série de ciberataques.

Há inúmeras pessoas dedicadas a encontrar estas vulnerabilidades e corrigi-las para melhorar a experiência dos usuários e a integridade dos programas e recursos como um todo. Mas há uma parcela dedicada a explorar estas falhas da pior forma possível, tudo com o objetivo de aplicar golpes, realizar ciberataques e invadir a privacidade e a segurança das vítimas.

É fundamental adotar práticas de segurança digital para mitigar e combater este tipo de ciberameaça, como manter os sistemas e programas sempre atualizados e baixar software apenas de fontes confiáveis (diretamente dos desenvolvedores sempre que isto for possível).

Apesar de explorar falhas encontradas em software e hardware, os ataques de exploit ainda dependem em grande parte das ações das próprias pessoas. É exatamente por esta razão que a melhor ferramenta de defesa é a adoção de práticas e ações digitais mais cautelosas ao navegar na internet e usar dispositivos em geral.

Status atual do projeto em setembro de 2024:

• Estamos planejando anunciar o lançamento do OWASP Top 10:2025 no primeiro semestre de 2025.
• Coleta de dados (agora – dezembro de 2024) : doe as estatísticas de teste de penetração do seu aplicativo.

Fique atento!

---

O OWASP Top 10 é um documento padrão de conscientização para desenvolvedores e segurança de aplicações web. Ele representa um amplo consenso sobre os riscos de segurança mais críticos para aplicações web.

Reconhecido mundialmente pelos desenvolvedores como o primeiro passo para uma codificação mais segura.

As empresas devem adotar este documento e iniciar o processo para garantir que suas aplicações web minimizem esses riscos. Utilizar o OWASP Top 10 é talvez o primeiro passo mais eficaz para mudar a cultura de desenvolvimento de software em sua organização para uma que produza código mais seguro.

Os 10 principais riscos de segurança em aplicativos da Web

Há três novas categorias, quatro categorias com mudanças de nomenclatura e escopo e alguma consolidação no Top 10 de 2021.

• A01:2021 – Controle de Acesso Quebrado sobe da quinta posição; 94% dos aplicativos foram testados para alguma forma de controle de acesso quebrado. As 34 Enumerações de Fraquezas Comuns (CWEs) mapeadas para Controle de Acesso Quebrado tiveram mais ocorrências em aplicativos do que qualquer outra categoria.
• A02:2021 – Falhas Criptográficas sobe uma posição para o segundo lugar, anteriormente conhecido como Exposição de Dados Sensíveis, que era um sintoma geral e não a causa raiz. O foco renovado aqui está nas falhas relacionadas à criptografia, que frequentemente levam à exposição de dados sensíveis ou ao comprometimento do sistema.
• A03:2021-Injeção cai para a terceira posição. 94% das aplicações foram testadas para alguma forma de injeção, e os 33 CWEs mapeados nesta categoria têm o segundo maior número de ocorrências em aplicações. Cross-site scripting agora faz parte desta categoria nesta edição.
• A04:2021 – Design Inseguro é uma nova categoria para 2021, com foco em riscos relacionados a falhas de design. Se realmente quisermos “ir para a esquerda” como indústria, isso exigirá maior uso de modelagem de ameaças, padrões e princípios de design seguro e arquiteturas de referência.
• A05:2021 – Configuração incorreta de segurança sobe da 6ª posição na edição anterior; 90% dos aplicativos foram testados para algum tipo de configuração incorreta. Com mais mudanças para softwares altamente configuráveis, não é surpresa que esta categoria suba. A antiga categoria para Entidades Externas XML (XXE) agora faz parte desta categoria.
• A categoria A06:2021-Componentes Vulneráveis ​​e Desatualizados, anteriormente intitulada “Usando Componentes com Vulnerabilidades Conhecidas”, ocupa o segundo lugar na pesquisa da comunidade Top 10, mas também possui dados suficientes para figurar no Top 10 por meio de análise de dados. Esta categoria subiu da 9ª posição em 2017 e é um problema conhecido cujo risco temos dificuldade em testar e avaliar. É a única categoria que não possui nenhuma Vulnerabilidade e Exposição Comum (CVE) mapeada para as CWEs incluídas, portanto, uma exploração padrão e pesos de impacto de 5,0 são considerados em suas pontuações.
• A07:2021 – Falhas de Identificação e Autenticação era anteriormente Autenticação Quebrada e está caindo da segunda posição, passando a incluir CWEs mais relacionadas a falhas de identificação. Esta categoria ainda é parte integrante do Top 10, mas a maior disponibilidade de estruturas padronizadas parece estar ajudando.
• A08:2021 – Falhas de Integridade de Software e Dados é uma nova categoria para 2021, com foco em suposições relacionadas a atualizações de software, dados críticos e pipelines de CI/CD sem verificação de integridade. Um dos impactos mais ponderados vem dos dados do Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) mapeados para os 10 CWEs nesta categoria. A Desserialização Insegura de 2017 agora faz parte desta categoria maior.
• A categoria A09:2021 – Falhas no Registro e Monitoramento de Segurança era anteriormente Registro e Monitoramento Insuficientes e foi adicionada na pesquisa do setor (nº 3), subindo da posição 10 anterior. Esta categoria foi expandida para incluir mais tipos de falhas, é difícil de testar e não está bem representada nos dados CVE/CVSS. No entanto, falhas nesta categoria podem impactar diretamente a visibilidade, os alertas de incidentes e a análise forense.
• A10:2021-Server-Side Request Forgery foi adicionado da pesquisa da comunidade Top 10 (nº 1). Os dados mostram uma taxa de incidência relativamente baixa, com cobertura de testes acima da média, além de classificações acima da média para Exploit e Potencial de Impacto. Esta categoria representa o cenário em que os membros da comunidade de segurança nos dizem que isso é importante, embora não esteja ilustrado nos dados neste momento.

Dorking do Google, também chamado de hacking do Google, é uma técnica de hacking de pesquisa que usa consultas de pesquisa avançada para revelar informações ocultas no Google. Dorks do Google ou hacks do Google, referem-se aos comandos de pesquisa específicos (como parâmetros especiais e operadores de pesquisa) que, quando inseridos na barra de pesquisa do Google, revelam partes ocultas de sites.

Quando o Google rastreia a Web para indexar páginas do mecanismo de pesquisa, ele pode ver partes de sites que os usuários normais da internet não conseguem. Os dorks do Google e os hacks do Google descobrem alguns desses dados ocultos, permitindo ver informações que organizações, empresas e proprietários de sites podem não querer que você veja.

Um exemplo simples de uma consulta de pesquisa avançada é o uso de aspas. Usar aspas em pesquisas oferece uma lista de resultados que incluem páginas Web em que a frase completa é usada, em vez de apenas algumas combinações (completas e incompletas) das palavras individuais que você digitou no campo de pesquisa.

Existem muitos outros tipos de hacks do Google que usam consultas de pesquisa avançada, mas as explicações técnicas não são muito mais complicadas do que isso. O poder delas está na capacidade de usá-las com criatividade.

Para que o dorking do Google é usado?

O dorking do Google é usado para encontrar informações ocultas que de outra forma seriam inacessíveis por meio de uma pesquisa normal do Google. Dorks do Google podem revelar informações sigilosas ou privadas de sites e das empresas, organizações e pessoas que são suas proprietárias ou que os operam.

Ao se preparar para um ataque, hackers mal-intencionados podem usar o dorks do Google para coletar dados sobre seus alvos. Os dorks do Google também são usados para encontrar sites que possuem certas falhas, vulnerabilidades e informações confidenciais que podem ser exploradas.

As empresas de segurança tentam o dorking para entender melhor as abordagens de invasão de sistemas. Ou, as empresas podem usar o dorks do Google para encontrar informações para aproveitar em estratégias de SEO e marketing de desempenho. O uso de hacks do Google ajuda as empresas a ver exatamente que tipo de informações os outros podem encontrar sobre elas.

Juntamente com a coleta de informações, o dorking pode conceder acesso a servidores, câmeras e arquivos. Os dorks do Google podem ser usados para acessar todas as webcams em uma determinada área. Eles já foram usados até para acessar apps de smartphone. Algumas técnicas de dorking revelaram arquivos de tentativas de login, inclusive nomes de usuário e senhas. Outros dorks permitiram até que os hackers contornassem os portais de login.

Dorking do Google pode revelar todos os tipos de informações ocultas no Google.

Com dorks, não é necessário aprender código de hacking do Google. Em vez disso, hackear o Google pode ser feito facilmente através do uso de comandos de pesquisa simples que você mesmo pode procurar. Preocupantemente, uma combinação de dorking e engenharia social pode revelar muitas informações que podem ser usadas para cometer roubo de identidade. Por isso, é importante entender como funciona o hacking de banco de dados do Google, para que você possa entender sua própria identidade digital e fortalecer sua segurança online.

Como a cada dia, a trilha digital dos seus rastros aumenta, você fica mais suscetível ao rastreamento online e mais vulnerável a hacks de pesquisa do Google ou outras formas de hacking de computador.

Dorking do Google é ilegal?

O dorking do Google é completamente legal: é apenas outra forma de fazer pesquisa. O Google foi criado para lidar com pesquisas avançadas, e banir esse recurso limitaria o acesso às informações.

Mas os hacks do Google podem se tornar ilegais se forem usados para acessar clandestinamente o dispositivo de outra pessoa, fazer login na conta de outra pessoa ou acessar ou baixar arquivos ou documentos protegidos. Procurar informações pode não ser ilegal, mas usá-las para fins não autorizados provavelmente é.

Dorks do Google: um histórico

Os dorks do Google começaram em 2002, quando o especialista em segurança de computadores Johnny Long começou a usar consultas personalizadas para pesquisar elementos de sites para aproveitar em ataques cibernéticos. Uma forma de teste de invasão, Long chamou os comandos de pesquisa personalizados que ele usou de dorks do Google, e a lista dessas consultas cresceu no banco de dados de hackers do Google. Lá, você pode encontrar todos os tipos de consultas avançadas que podem ser usadas para descobrir vários tipos de informações ocultas.

Embora suas ferramentas tenham sido usadas para fins antiéticos, Johnny Long dedicou sua experiência em segurança da informação à caridade e ao desenvolvimento internacional, construindo infraestrutura e programas de treinamento em tecnologia em países subdesenvolvidos.

Operadores e comandos comuns de dorks do Google

Para ter uma ideia melhor de como os dorks do Google funcionam, veja esta lista de alguns dos comandos mais comuns de dorks do Google. Você pode até achar alguns deles úteis para suas buscas diárias.

Pense nesta lista como “cheats” para dorking do Google:

• SiteUsar “site:” em um comando de pesquisa fornecerá resultados apenas do site específico mencionado.
• IntitleUsar “intitle:” pede ao Google para pesquisar apenas páginas com esse texto específico nos títulos de páginas HTML.
• InurlAo usar “inurl:”, apenas páginas com esse texto específico em seu URL serão pesquisadas.
• Filetype ou extUsar “filetype:” or “ext:” limitará sua pesquisa ao tipo específico de arquivo mencionado.
• IntextUsar “intext:” em uma consulta de pesquisa pesquisará apenas as palavras-chave fornecidas. No exemplo abaixo, todos os resultados listados terão o texto entre aspas em algum lugar da página.

Conforme mostrado no exemplo para “filetype acima, você pode misturar e combinar esses comandos de dork do Google para encontrar as informações que deseja. Não se esqueça de usar dois pontos após o tipo de dork que você inserir.

Operadores e comandos avançados de dorks do Google

Agora vamos examinar os comandos de hacking mais avançados do Google. Os hacks avançados do Google permitem procurar armazenamento de arquivos, ler conteúdo excluído recentemente e acessar webcams de CFTV de determinadas áreas, como um estacionamento ou de um campus universitário.

Veja alguns exemplos das formas mais avançadas de usar o dorking do Google:

• CacheUsar “cache” na sua pesquisa pode permitir ver versões mais antigas de um site ou acessar arquivos removidos recentemente. Tente digitar algo como “cache:twitter.com/madonna” para ver um histórico das postagens do artista, como tweets excluídos recentemente.
• :ftpEsse hack avançado do Google pode ser usado no final de uma consulta combinada para encontrar servidores FTP. Servidores FTP geralmente armazenam grandes quantidades de arquivos. Procure shakespeare:ftp para encontrar um grande arquivo de todos os textos do escritor.
• Filetype:logUsar esse dork do Google pesquisará arquivos de log.

Tudo isso pode ser combinado com outras palavras-chave e operadores para buscas mais precisas. Você pode aprimorar sua pesquisa se adicionar parâmetros ou comandos e restringir a sintaxe usada. Dorks também podem ser automatizados para escanear regularmente vulnerabilidades e outras informações.

Para obter mais informações sobre sintaxes complexas usadas em hacks do Google, acesse o banco de dados de hacking do Google. Como mencionado acima, é ilegal usar dorks do Google para acessar ou baixar informações ilegais ou protegidas.

Como se proteger contra o dorking do Google

Agora que você sabe que tipo de poder os dorks do Google podem ter, como você se protege contra o uso das suas informações descobertas pelo dorking do Google?

Embora seja fácil entrar em paranoia com a quantidade de dados que o Google tem sobre você e o perigo de que ele possa ser hackeado, não adianta só se preocupar. Em vez disso, fortaleça proativamente sua segurança na internet para proteger seus dados pessoais das possíveis consequências do dorking, como um ataque de phishing.

Veja algumas das melhores maneiras de se proteger contra o dorking do Google:

• Use senhas fortes e exclusivas e 2FA em todas as contas online. Isso reduzirá bastante o risco de alguém invadir suas contas com informações descobertas por meio de um hack do Google. (E use um gerenciador de senhas confiável para armazenar todas as suas senhas.)
• Verifique vulnerabilidades regularmente Se você gerencia um site ou outra infraestrutura digital, faça testes de invasão regularmente para encontrar pontos fracos.
• Use o Console de pesquisa do Google para remover páginas sigilosas dos resultados públicos de pesquisa.
• Faça um dork do Google em si mesmo para ver que tipo de informação pessoal está visível.
• Se você for administrador de site, adicione arquivos robot.txt a pastas confidenciais para informar ao Google para não indexar esse conteúdo. Robot.txt é um dos antídotos do Google contra dorking maligno.
• Finalmente, instale um software de segurança abrangente.

Cross-site scripting (também conhecido como XSS) é uma vulnerabilidade de segurança na web que permite que um invasor comprometa as interações dos usuários com um aplicativo vulnerável. Ele permite que um invasor contorne a mesma política de origem, que é projetada para segregar diferentes sites uns dos outros. Vulnerabilidades de cross-site scripting normalmente permitem que um invasor se disfarce como um usuário vítima, execute quaisquer ações que o usuário seja capaz de realizar e acesse quaisquer dados do usuário. Se o usuário vítima tiver acesso privilegiado ao aplicativo, o invasor poderá obter controle total sobre todas as funcionalidades e dados do aplicativo.

Como o XSS funciona?

O cross-site scripting funciona manipulando um site vulnerável para que ele retorne JavaScript malicioso aos usuários. Quando o código malicioso é executado dentro do navegador da vítima, o invasor pode comprometer completamente a interação dela com o aplicativo.

Laboratórios

Se você já estiver familiarizado com os conceitos básicos por trás das vulnerabilidades XSS e quiser apenas praticar a exploração delas em alguns alvos realistas e deliberadamente vulneráveis, você pode acessar todos os laboratórios neste tópico no link abaixo.

• Ver todos os laboratórios XSS

Prova de conceito XSS

Você pode confirmar a maioria dos tipos de vulnerabilidade XSS injetando um payload que faz com que seu navegador execute algum JavaScript arbitrário. Há muito tempo, é prática comum usar a alert()função para esse propósito, pois ela é curta, inofensiva e bastante difícil de ignorar quando chamada com sucesso. Na verdade, você resolve a maioria dos nossos laboratórios de XSS invocando alert()o navegador de uma vítima simulada.

Infelizmente, há um pequeno problema se você usar o Chrome. A partir da versão 92 (20 de julho de 2021), iframes de origem cruzada são impedidos de chamar alert(). Como eles são usados ​​para construir alguns dos ataques XSS mais avançados, às vezes você precisará usar um payload PoC alternativo. Nesse cenário, recomendamos a print()função . Se você tiver interesse em saber mais sobre essa mudança e por que gostamos de print().

Como a vítima simulada em nossos laboratórios usa o Chrome, corrigimos os laboratórios afetados para que também possam ser resolvidos usando [nome do laboratório] print(). Indicamos isso nas instruções sempre que relevante.

Quais são os tipos de ataques XSS?

Existem três tipos principais de ataques XSS. São eles:

• XSS refletido , onde o script malicioso vem da solicitação HTTP atual.
• XSS armazenado , de onde o script malicioso vem do banco de dados do site.
• XSS baseado em DOM , onde a vulnerabilidade existe no código do lado do cliente e não no código do lado do servidor.

Cross-site scripting refletido

XSS refletido é a variante mais simples de cross-site scripting. Ele surge quando um aplicativo recebe dados em uma solicitação HTTP e os inclui na resposta imediata de forma insegura.

Aqui está um exemplo simples de uma vulnerabilidade XSS refletida:https://insecure-website.com/status?message=All+is+well. <p>Status: All is well.</p>

O aplicativo não realiza nenhum outro processamento dos dados, então um invasor pode facilmente construir um ataque como este:https://insecure-website.com/status?message=<script>/*+Bad+stuff+here...+*/</script> <p>Status: <script>/* Bad stuff here... */</script></p>

Se o usuário visitar a URL construída pelo invasor, o script do invasor será executado no navegador do usuário, no contexto da sessão do usuário com o aplicativo. Nesse momento, o script poderá executar qualquer ação e recuperar quaisquer dados aos quais o usuário tenha acesso.

Script entre sites armazenado

O XSS armazenado (também conhecido como XSS persistente ou de segunda ordem) surge quando um aplicativo recebe dados de uma fonte não confiável e inclui esses dados em suas respostas HTTP posteriores de maneira insegura.

Os dados em questão podem ser enviados ao aplicativo por meio de solicitações HTTP; por exemplo, comentários em uma postagem de blog, apelidos de usuários em uma sala de bate-papo ou detalhes de contato em um pedido de cliente. Em outros casos, os dados podem chegar de outras fontes não confiáveis; por exemplo, um aplicativo de webmail exibindo mensagens recebidas por SMTP, um aplicativo de marketing exibindo postagens em mídias sociais ou um aplicativo de monitoramento de rede exibindo dados de pacotes do tráfego de rede.

Aqui está um exemplo simples de uma vulnerabilidade XSS armazenada. Um aplicativo de quadro de mensagens permite que os usuários enviem mensagens, que são exibidas para outros usuários:<p>Hello, this is my message!</p>

O aplicativo não realiza nenhum outro processamento dos dados, então um invasor pode facilmente enviar uma mensagem que ataque outros usuários:<p><script>/* Bad stuff here... */</script></p>

Cross-site scripting baseado em DOM

O XSS baseado em DOM (também conhecido como DOM XSS) surge quando um aplicativo contém algum JavaScript do lado do cliente que processa dados de uma fonte não confiável de forma insegura, geralmente gravando os dados de volta no DOM.

No exemplo a seguir, um aplicativo usa JavaScript para ler o valor de um campo de entrada e gravar esse valor em um elemento dentro do HTML:var search = document.getElementById('search').value; var results = document.getElementById('results'); results.innerHTML = 'You searched for: ' + search;

Se o invasor puder controlar o valor do campo de entrada, ele poderá facilmente construir um valor malicioso que fará com que seu próprio script seja executado:You searched for: <img src=1 onerror='/* Bad stuff here... */'>

Em um caso típico, o campo de entrada seria preenchido a partir de parte da solicitação HTTP, como um parâmetro de sequência de consulta de URL, permitindo que o invasor realize um ataque usando uma URL maliciosa, da mesma maneira que o XSS refletido.

Para que o XSS pode ser usado?

Um invasor que explora uma vulnerabilidade de script entre sites normalmente consegue:

• Personificar ou se passar pelo usuário vítima.
• Executar qualquer ação que o usuário seja capaz de executar.
• Leia todos os dados que o usuário consegue acessar.
• Capture as credenciais de login do usuário.
• Realizar desfiguração virtual do site.
• Injetar funcionalidade de trojan no site.

Impacto das vulnerabilidades XSS

O impacto real de um ataque XSS geralmente depende da natureza da aplicação, de sua funcionalidade e dados, e do status do usuário comprometido. Por exemplo:

• Em um aplicativo de folhetos, onde todos os usuários são anônimos e todas as informações são públicas, o impacto geralmente será mínimo.
• Em um aplicativo que contém dados confidenciais, como transações bancárias, e-mails ou registros de saúde, o impacto geralmente será sério.
• Se o usuário comprometido tiver privilégios elevados no aplicativo, o impacto geralmente será crítico, permitindo que o invasor assuma o controle total do aplicativo vulnerável e comprometa todos os usuários e seus dados.

Como encontrar e testar vulnerabilidades XSS

A grande maioria das vulnerabilidades XSS pode ser encontrada de forma rápida e confiável usando o scanner de vulnerabilidades da web do Burp Suite.

Testar manualmente o XSS refletido e armazenado normalmente envolve o envio de uma entrada única simples (como uma string alfanumérica curta) para cada ponto de entrada do aplicativo, identificando cada local onde a entrada enviada é retornada em respostas HTTP e testando cada local individualmente para determinar se uma entrada adequadamente elaborada pode ser usada para executar JavaScript arbitrário. Dessa forma, você pode determinar o contexto em que o XSS ocorre e selecionar um payload adequado para explorá-lo.

Testar manualmente XSS baseado em DOM proveniente de parâmetros de URL envolve um processo semelhante: inserir uma entrada única e simples no parâmetro, usar as ferramentas de desenvolvedor do navegador para pesquisar essa entrada no DOM e testar cada local para determinar se é explorável. No entanto, outros tipos de XSS DOM são mais difíceis de detectar. Para encontrar vulnerabilidades baseadas em DOM em entradas não baseadas em URL (como document.cookie) ou coletores não baseados em HTML (como setTimeout), não há substituto para a revisão do código JavaScript, que pode ser extremamente demorada. O scanner de vulnerabilidades da web do Burp Suite combina análise estática e dinâmica de JavaScript para automatizar de forma confiável a detecção de vulnerabilidades baseadas em DOM.

Política de segurança de conteúdo

A política de segurança de conteúdo (CSP) é um mecanismo de navegador que visa mitigar o impacto de scripts entre sites e algumas outras vulnerabilidades. Se um aplicativo que utiliza CSP apresentar comportamento semelhante ao XSS, a CSP poderá dificultar ou impedir a exploração da vulnerabilidade. Muitas vezes, a CSP pode ser contornada para permitir a exploração da vulnerabilidade subjacente.

Injeção de marcação pendente

A injeção de marcação pendente é uma técnica que pode ser usada para capturar dados entre domínios em situações em que uma exploração completa de cross-site scripting não é possível devido a filtros de entrada ou outras defesas. Muitas vezes, ela pode ser explorada para capturar informações confidenciais visíveis a outros usuários, incluindo tokens CSRF que podem ser usados ​​para executar ações não autorizadas em nome do usuário.

Como prevenir ataques XSS

Evitar cross-site scripting é trivial em alguns casos, mas pode ser muito mais difícil dependendo da complexidade do aplicativo e das maneiras como ele manipula dados controláveis ​​pelo usuário.

Em geral, a prevenção eficaz de vulnerabilidades XSS provavelmente envolverá uma combinação das seguintes medidas:

• Filtre a entrada na chegada. No ponto em que a entrada do usuário é recebida, filtre o mais rigorosamente possível com base no que é esperado ou em uma entrada válida.
• Codifique os dados na saída. No ponto em que os dados controláveis ​​pelo usuário são enviados em respostas HTTP, codifique a saída para evitar que seja interpretada como conteúdo ativo. Dependendo do contexto de saída, isso pode exigir a aplicação de combinações de codificação HTML, URL, JavaScript e CSS.
• Use cabeçalhos de resposta apropriados. Para evitar XSS em respostas HTTP que não devem conter HTML ou JavaScript, você pode usar os cabeçalhos Content-Typee X-Content-Type-Optionspara garantir que os navegadores interpretem as respostas da maneira que você deseja.
• Política de Segurança de Conteúdo. Como última linha de defesa, você pode usar a Política de Segurança de Conteúdo (CSP) para reduzir a gravidade de quaisquer vulnerabilidades XSS que ainda ocorram.

Perguntas comuns sobre cross-site scripting

Quão comuns são as vulnerabilidades XSS? Vulnerabilidades XSS são muito comuns, e XSS é provavelmente a vulnerabilidade de segurança web mais frequente.

Quão comuns são os ataques XSS? É difícil obter dados confiáveis ​​sobre ataques XSS no mundo real, mas provavelmente são menos explorados do que outras vulnerabilidades.

Qual é a diferença entre XSS e CSRF? XSS envolve fazer com que um site retorne JavaScript malicioso, enquanto CSRF envolve induzir um usuário vítima a realizar ações que não pretendia.

Qual é a diferença entre XSS e injeção de SQL? XSS é uma vulnerabilidade do lado do cliente que tem como alvo outros usuários do aplicativo, enquanto a injeção de SQL é uma vulnerabilidade do lado do servidor que tem como alvo o banco de dados do aplicativo.

Como posso evitar XSS em PHP? Filtre suas entradas com uma lista de caracteres permitidos e use dicas de tipo ou conversão de tipo. Use escapes para suas saídas com htmlentitiese ENT_QUOTESpara contextos HTML, ou escapes Unicode em JavaScript para contextos JavaScript.

Como posso evitar XSS em Java? Filtre suas entradas com uma lista de caracteres permitidos e use uma biblioteca como o Google Guava para codificar sua saída em HTML para contextos HTML ou use escapes Unicode em JavaScript para contextos JavaScript.

A escalada de privilégios é um conceito-chave para invasores que buscam acesso a informações confidenciais ou funcionalidades restritas em um sistema de informação. Normalmente, isso envolve explorar vulnerabilidades de segurança em um determinado sistema para escalar de um nível de acesso limitado, com permissões padrão, para um nível de acesso mais alto, com direitos mais amplos.

No Linux, existem diversas técnicas para aumentar os privilégios de um usuário. Exploração de fragilidades de configuração, vulnerabilidades em programas e controle de acesso quebrado são as principais.

No entanto, os riscos associados à escalada de privilégios são significativos, pois um invasor pode acessar dados confidenciais, executar modificações não autorizadas ou usar o sistema para outros fins maliciosos. De fato, esta é uma questão que não deve ser encarada levianamente pelos administradores de sistemas, que devem sempre considerar esse risco e implementar medidas de segurança adequadas para evitá-lo.

Neste artigo, detalharemos as principais técnicas de escalonamento de privilégios no Linux com exemplos concretos para ilustrar como elas funcionam, bem como as melhores dicas de segurança para evitá-las.

Quais são as principais técnicas para escalonamento de privilégios no Linux?

Explorando fraquezas de configuração

A primeira e provavelmente a mais comum técnica de escalonamento de privilégios no Linux é explorar vulnerabilidades de configuração. Isso é feito aproveitando a falta de configuração das configurações de segurança do sistema para acessar dados ou recursos restritos (fora das permissões pretendidas).

Senhas fracas e ataques de força bruta

Um exemplo comum de vulnerabilidade de configuração que pode ser facilmente explorada é a presença de uma conta com uma senha fraca. De fato, um invasor poderia, usando força bruta, tentar descobrir a senha da conta usando uma lista de senhas usadas com frequência. Além disso, para aumentar as chances de sucesso de um ataque de força bruta, é possível criar uma lista de senhas com variáveis, integrando, por exemplo, o nome, a empresa, a data de nascimento, etc., de um alvo específico.

Na verdade, os seguintes exemplos de senhas (lista não exaustiva), que ainda são muito usados, devem ser evitados porque a maioria delas pode ser adivinhada em menos de 10 segundos com o dicionário certo:

•	password
•	123456
•	123456789
•	admin
•	administrator
•	root
•	toor

Para evitar esses riscos, os administradores de sistema devem garantir que as senhas usadas para as contas sejam fortes e exclusivas. Para isso, é altamente recomendável usar gerenciadores de senhas para gerar senhas longas, aleatórias e, portanto, difíceis de adivinhar. Para o mesmo propósito, o PAM (Módulos de Autenticação Plugáveis) pode ser configurado para impor o uso de senhas fortes, por exemplo, exigindo um número mínimo de caracteres ou proibindo a presença do nome do usuário na senha, etc.

Por fim, outro mecanismo para combater ataques de força bruta é a implementação do fail2ban , que bane automaticamente endereços IP após várias conexões com falha.

Para mais informações, recomendamos nosso artigo: Ataques de força bruta: princípios e melhores práticas de segurança .

Controle de acesso quebrado e violação de privilégio mínimo

O princípio do menor privilégio deve ser respeitado para os serviços configurados. Se um invasor explorar uma vulnerabilidade em um serviço executado como administrador, ele terá os mesmos privilégios que o serviço. Por exemplo, se um servidor web, executado com permissões de administrador, permitir a execução de código arbitrário por meio de uma vulnerabilidade, esse código será executado com a conta de administrador.

Na maioria das vezes, durante nossos testes de penetração, observamos falhas no controle de acesso a arquivos ou programas. No entanto, se esses ativos tiverem permissões incorretas, um usuário com privilégios baixos poderá lê-los ou modificá-los.

Por exemplo, considere o seguinte caso: o arquivo vaadata_secret_protected.pdf só pode ser lido e modificado pelo usuário root. Por outro lado, o arquivo vaadata_secret.pdfpode ser lido por qualquer usuário.

-rwx------ 1 root root    0 Jan 17 14:56 vaadata_secret_protected.pdf
-rwxr--r-- 1 root root    0 Jan 17 14:56 vaadata_secret.pdf

Uma configuração incorreta de direitos de acesso pode estar presente no arquivo de configuração de um serviço usado com mais privilégios do que o usuário atual e pode permitir que o serviço seja assumido.

É importante observar que existem muitas outras vulnerabilidades de configuração que podem ser exploradas para aumentar privilégios no Linux. Os administradores de sistema devem, portanto, estar cientes desses riscos e tomar as medidas de segurança adequadas para evitá-los.

Explorando vulnerabilidades em programas

Outro método comum de escalonamento de privilégios no Linux é explorar vulnerabilidades em programas (sistemas operacionais, servidores web, bancos de dados, etc.). Essas vulnerabilidades podem ser bugs no código que permitem que invasores executem código arbitrário ( RCE ) com privilégios elevados.

Por exemplo, uma vulnerabilidade de estouro de buffer em um programa pode permitir a escalada de privilégios. Bugs desse tipo podem permitir que invasores executem código arbitrário usando uma entrada maliciosa que excede o tamanho alocado para essa entrada. Os invasores podem então executar comandos com privilégios altos usando os privilégios do programa vulnerável.

Um segundo exemplo seriam vulnerabilidades em serviços de gerenciamento de arquivos. Serviços como Samba, NFS e FTP são usados ​​para compartilhar arquivos entre diferentes sistemas. Se esses serviços contiverem vulnerabilidades, invasores poderão acessar arquivos confidenciais ou executar comandos com privilégios elevados. Em 2019, o lançamento de uma vulnerabilidade no vsftpd 2.3.4 ( CVE-2011-2523 ) permitiu que invasores assumissem o controle de servidores FTP usando um backdoor no software.

Explorando privilégios locais

No Linux, os programas podem ser configurados para serem executados com a conta de outro usuário (SUID), a conta de outro grupo (SGID) ou com recursos adicionais.

Esses programas precisam de acesso a recursos ou informações restritas para funcionar corretamente. Por exemplo, o passwdutilitário precisa ser executado rootpara editar o arquivo de senhas. Assim, esses programas podem ser configurados de forma a se tornarem vulneráveis ​​a ataques, permitindo que invasores aumentem seus privilégios.

Por exemplo, se o binário nmap tiver o bit SUID, os comandos executados serão executados com o usuário que possui o arquivo nmap.

TF=$(mktemp)
echo 'os.execute("/bin/sh")' > $TF
nmap --script=$TF

O site GTFOBins lista técnicas para explorar um binário com privilégios devido à configuração incorreta.

Por fim, outra possibilidade para um invasor obter privilégios são as tarefas automatizadas (tarefas cron). Podemos imaginar um cenário em que uma tarefa agendada para executar um script pode ser modificada por todos os usuários.

# > ls -la /opt/backup.sh

-rw-rw-rw- 1 root root 0 Jan 17 15:07 backup.sh

Dessa forma, um invasor pode modificar o conteúdo do script para que a tarefa agendada execute o comando malicioso como rootum shell reverso e, assim, aumentar os privilégios do invasor.

# > crontab -l

# Backup vaadata website
* * * * * /opt/backup.sh

Como evitar a escalada de privilégios?

Uma das funções dos administradores de sistema é implementar medidas de segurança para evitar ou limitar escalonamentos de privilégios.

Implementando uma política de atualização eficaz

Atualizar regularmente os sistemas Linux é um aspecto central da prevenção de ataques de escalonamento de privilégios. De fato, vulnerabilidades são constantemente identificadas em programas. No entanto, essas descobertas são frequentemente (e muito rapidamente) acompanhadas por patches, que geralmente vêm na forma de uma nova versão (principal ou secundária).

Portanto, implementar uma política de atualização é essencial, para não dizer vital, visto que o lançamento de um patch costuma ser de acesso público. De fato, todos os invasores, dos mais novatos aos mais experientes, podem ter acesso aos detalhes das vulnerabilidades identificadas, bem como aos diversos exploits possíveis. Isso lhes permite lançar ataques em larga escala com altas chances de sucesso. Por esse motivo, é essencial manter os sistemas atualizados com os patches de segurança mais recentes para evitar o risco de exploits.

Registro e monitoramento de eventos

Os logs do sistema registram informações detalhadas sobre as atividades do usuário, conexões de rede e erros do sistema. Por esse motivo, uma política de segurança eficaz não pode ser alcançada sem um gerenciamento de logs adequado, a fim de detectar atividades anormais, como tentativas de escalonamento de privilégios.

Para registro e monitoramento, há muitas ferramentas (logstash, logtail, splunk, etc.) que podem ser configuradas para identificar usuários suspeitos e alertar os administradores sobre atividades anormais.

Por fim, é importante manter registros por um período suficientemente longo para permitir uma análise retrospectiva em caso de incidente de segurança. Para mais informações, consulte nosso artigo dedicado: Registro e monitoramento: definições e melhores práticas .

Acesso seguro e implementação do princípio do menor privilégio

É importante configurar os sistemas para conceder aos usuários e programas direitos de acesso limitados, de acordo com suas funções e tarefas. De fato, o princípio do menor privilégio deve ser sempre aplicado para minimizar o risco de escalonamento.

Além disso, é importante implementar estratégias de gerenciamento de privilégios, como, por exemplo, restringir privilégios para usuários temporários. Da mesma forma, usuários temporários devem ter acesso apenas aos privilégios necessários para executar suas tarefas, e os privilégios devem ser revogados automaticamente quando não forem mais necessários.

Conclusão

A elevação de privilégios no Linux é uma grande preocupação em segurança de computadores. Os invasores podem usar vários métodos para aumentar seus privilégios em um sistema, como explorar vulnerabilidades em programas, explorar senhas fracas ou até mesmo explorar programas com privilégios elevados.

É importante que os administradores de sistema compreendam esses riscos e tomem as medidas de segurança adequadas para evitá-los. Isso pode incluir o monitoramento regular de vulnerabilidades de software, atualizações de segurança e treinamento de funcionários. Também é importante limitar os privilégios do programa aos necessários para o funcionamento adequado e monitorar regularmente os logs em busca de atividades anômalas.

Por fim, é importante observar que as ameaças à segurança estão em constante evolução, por isso é necessário manter vigilância constante e continuar a par das últimas tendências de segurança para proteger efetivamente os sistemas contra ataques de escalonamento de privilégios.

Referências diretas inseguras a objetos são vulnerabilidades comuns e potencialmente devastadoras resultantes de controle de acesso interrompido em aplicativos da web. Os bugs IDOR permitem que um invasor interaja maliciosamente com um aplicativo manipulando uma “referência direta de objeto”, como uma chave de banco de dados, parâmetro de consulta ou nome de arquivo.

À medida que aprendermos mais sobre a história da origem do meu vilão neste artigo, responderemos a perguntas importantes como: “O que é IDOR?”, “Como encontro uma vulnerabilidade IDOR?” e “O que posso fazer para me proteger contra um IDOR?” 

Como funciona uma vulnerabilidade IDOR?

Para entender melhor como um invasor pode explorar uma vulnerabilidade IDOR, vamos dar uma olhada no meu exemplo do mundo real. Como um estudante de jornalismo do terceiro ano, li sobre uma situação em que um aluna de uma universidade diferente acessou os registros de outros alunos apenas alterando uma parte do endereço em seu navegador. Intrigado, decido ver se os sistemas da minha universidade sofriam de uma vulnerabilidade semelhante. 

Para testar isso, entrei em minha conta de aluno e observei que, assim como a história que li, o aplicativo estava usando minha ID de estudante como um identificador para recuperar meus horários de aulas, notas e outras informações pessoais. A URL era mais ou menos assim: 

https://stateuniversity.example/GetStudentRecords?ID=00123456789

Mas e se eu simplesmente substituísse a parte “ID=00123456789” da URL pela ID de um aluno diferente? Depois de receber permissão, dei uma chance. Com certeza, o sistema exibiu os registros desse aluno em vez dos meus. 

A repetição desse processo revelou que era bastante simples obter os registros de qualquer aluno ou funcionário da universidade, desde que eu soubesse (ou pudesse adivinhar) o número de registro de estudante ou funcionário. Como os dados confidenciais estavam sendo expostos, relatei a vulnerabilidade à universidade imediatamente. 

Assim como acontece em um acidente de avião, algumas coisas precisar dar errada para que eu conseguisse esse hack. Primeiro, o aplicativo obviamente não incluía nenhuma verificação de autorização para ver se eu deveria ter acesso aos registros que solicitei – é daí que vem o “Inseguro” na referência insegura de objeto direto. 

Em segundo lugar, a universidade projetou seu aplicativo para basear as pesquisas de registros de banco de dados apenas na identificação do aluno/funcionário – há a “referência de objeto direto”. Por fim, os Ids foram listados na barra de endereços em um formato fácil de reconhecer, simplificando a manipulação até mesmo para um novato em segurança cibernética. 

Quatro tipos comuns de IDOR

Atualmente, os identificadores são mais comumente encontrados em cabeçalhos ou APIs do que diretamente na barra de endereços do usuário. No entanto, a natureza dinâmica da maioria dos sites significa que identificadores e parâmetros ainda são muito usados de uma forma ou de outra. Os identificadores podem incluir: 

• Chaves de bancos de dados 
• Parâmetros de consulta 
• Ids de usuário ou sessão 
• Nomes de arquivos 

Como identificar vulnerabilidades IDOR

Vulnerabilidades IDOR geralmente são simples de explorar, mas podem ser difíceis para os desenvolvedores identificarem. Ferramentas e técnicas como análise de código e varredura automatizada não são tão boas para detectar bugs IDOR quanto muitos outros problemas de segurança comuns, o que significa que identificar essas vulnerabilidades pode exigir testes manuais de segurança. 

Algumas maneiras de identificar vulnerabilidades incluem: 

• Executar testes básicos usando as ferramentas de desenvolvedor integradas em um navegador web.
• Usar uma ferramenta como o Burp Suit ou Open Web Application Security Project Zed Attack Proxy (OWASP ZAP) para aumentar a eficácia do teste manual.
• Participar de um programa de divulgação de vulnerabilidades.
• Contratar uma empresa externa de testes de penetração para revisar aplicativos críticos da web.

Quatro tipos de ataques IDOR

Conceitualmente, a maioria dos ataques que exploram o IDOR funcionam de maneira semelhante, mas existem pequenas nuances nas quais o identificador é exposto e/ou manipulado por hackers: 

1- Adulteração de URL

A adulteração de URL é a maneira mais simples de explorar uma vulnerabilidade IDOR e geralmente requer pouco ou nenhum conhecimento técnico. Nesse tipo de ataque, podemos simplesmente alterar o valor de um parâmetro na barra de endereço do nosso navegador.  

No exemplo da minha faculdade, mudei o número da minha identificação de estudante para a de outros alunos, professores e funcionários da universidade. As ferramentas também podem ser usadas para modificar a solicitação HTTP, mas o resultado final foi o mesmo: o servidor concede algum tipo de acesso inapropriado a um invasor. 

Eu tinha a vantagem de saber alguns desses Ids com antecedência – um invasor real provavelmente gastaria tempo enumerando valores diferentes e tentando encontrar um padrão previsível. 

Abaixo: um simples ataque de adulteração de URL pode consistir na alteração de um único ID de parâmetro de uma barra de endereço.

2- Manipulação corporal

A manipulação do corpo é muito semelhante à adulteração de URL, exceto que o invasor está modificando um ou mais valores no corpo do documento em vez da URL. Isso pode significar alterar os valores de botões de opção, caixas de seleção ou outros elementos de formulário. Também pode ser possível alterar os valores ocultos do formulário. 

Talvez um contato tenha um valor de formulário oculto que passa o ID do usuário para a conta conectada no momento. Se pudermos alterar esse valor oculto antes do envio do formulário, podemos fazer com que nossa solicitação pareça vir de um usuário diferente. 

3- Manipulação do cookie ou ID JSON

Cookies e JavaScript Object Notation (JSON) são amplamente usados nos bastidores para armazenar e trocar dados entre cliente e servidor, ajudando a tornar as páginas da Web mais dinâmicas. Quando fazemos login em um site, por exemplo, o servidor pode armazenar um valor de ID de usuário ou sessão dentro de um cookie ou objeto JSON. Se o aplicativo contiver uma vulnerabilidade IDOR, um invasor poderá alterar esses valores. 

4- Passagem de diretório

É um tipo exclusivo de vulnerabilidade IDOR que um invasor aproveita para acessar ou manipular arquivos ou pastas diretamente no servidor que executa o aplicativo da web. Este é um nível mais avançado do que outros tipos de ataques IDOR porque permite acesso direto aos recursos do sistema de arquivos em vez de registros do banco de dados. A vulnerabilidade permite que um invasor acesse arquivos de configuração, descubra credenciais de usuário ou até mesmo obtenha um shell totalmente funcional do alvo. 

Como o IDOR afeta os dados

As vulnerabilidades IDOR podem ser simples de explorar, mas os impactos desse tipo de ataque são potencialmente catastróficos. Abaixo estão apenas algumas maneiras pelas quais um IDOR pode impactar a confidencialidade, integridade e disponibiidade dos dados de sua organização: 

• Confidencialidade – Como vimos no exemplo da minha universidade, um ataque IDOR bem-sucedido dá ao invasor acesso a algo que ele não deveria poder visualizar. Isso pode ser qualquer coisa, desde um código de desconto para compradores frequentes em uma loja online até informações confidenciais de saúde ou segredos comerciais. 

• Integridade – Em alguns casos, um invasor pode usar um IDOR para modificar dados. Normalmente, esses tipos de ataques manipulam parâmetros em uma solicitação HTTP POST. Em 2020, um pesquisador de segurança descobriu uma vulnerabilidade IDOR que permitiria a um invasor alterar a senha de contas de usuário nos servidores Web do Departamento de Defesa dos EUA. Os invasores podem usar vulnerabilidades semelhantes para adicionar dados não autorizados, como informações financeiras falsificadas ou documentos incriminatórios, a um usuário desavisado. 
• Disponibilidade – A vulnerabilidade também pode ser usada para impactar a disponibilidade de recursos. Imagine uma função em um aplicativo PHP que exclua documentos por nome de arquivo. Sem verificações de autorização adequadas, um invasor pode alterar o nome do arquivo e excluir documentos aos quais nem mesmo tem acesso!

Quatro dicas para evitar vulnerabilidades IDOR

As vulnerabilidades IDOR podem ser prevenidas evitando referências diretas a objetos, implementando a validação de entrada do usuário e implementando identificadores globalmente exclusivos (conhecidos como GUIDs) ou identificadores aleatório. Embora não haja uma solução infalível quando se trata de como evitar vulnerabilidades IDOR, algumas dessas etapas podem ajudar. 

1- Implementar controle de acesso adequado e gerenciamento de sessão

O OWASP, que cunhou o temor “referência insegura de objeto direto”, considera o IDOR uma questão de controle de acesso acima de tudo. Verificações adequadas de controle de acesso e recursos de gerenciamento de sessão devem impedir que um usuário mal-intencionado acesso ou manipule dados, mesmo quando identificadores fáceis de enumerar são usados. As folhas de dicas OWASP sobre autorização e autenticação podem ser úteis para revisar. 

2- Evite referências diretas a objetos

Deixando de lado os problemas de controle de acesso, o uso de referências diretas de objetos em seu aplicativo costuma ser considerado uma prática de codificação desleixada. Isso é especialmente verdadeiro quando se trata de dados confidenciais, como IDs de alunos/funcionários, números de contas, etc. Referências de objetos indiretos geralmente na forma de mapas ou referência ou hash – abordam vulnerabilidades IDOR ocultando ou ofuscando o identificador verdadeiro, que permanece oculto no lado do servidor. Se forem usados hashes, certifique-se de incluir um sal forte e exclusivo, pois os algoritmos básicos de hash, como o MD5, são fáceis de reverter. 

3- Use GUIDs ou identificadores aleatórios

Em aplicativos que usam identificadores iterativos ou sequenciais ou valores de parâmetro, enumerar uma vulnerabilidade de referência direta de objeto insegura é muito fácil. Se eu notar que meu ID de usuário se parece como 0001, por exemplo, posso adivinhar que há um usuário 0002. O poder de computação moderno e as técnicas de automação tornam bastante fácil tentar todos os valores possíveis de 0000 a 9999 até encontrar o usuário que estou procurando. 

Nem os GUIDs nem os identificadores universalmente exclusivos removem a vulnerabilidade subjacente, mas tornam muito mais difícil enumerar e explorar. Um identificador como f492325c-ae75-4335-a2a6-1a716b723f2a é muito mais difícil de decifrar que algo menos complexo. 

4- Valide a entrada do usuário

A validação de entrada do usuário pode ajudar a mitigar um grande número de problemas de segurança, incluindo IDOR. A enumeração de identificadores torna-se muito mais difícil se estivermos validando estritamente os parâmetros fornecidos pelo usuário para comprimento e formato adequados. A validação pode ocorrer no lado do cliente ou no lado do servidor, dependendo do que for mais apropriado.

No campo da cibersegurança, o teste de penetração (pentest) é uma prática crucial para identificar e corrigir vulnerabilidades antes que sejam exploradas por atacantes. Ferramentas específicas desempenham um papel vital nesse processo, cada uma com suas funcionalidades únicas e contribuições. Aqui estão algumas das principais ferramentas de pentest, explicando por que usá-las, sua importância e exemplos detalhados de uso em CLI (interface de linha de comando).

1.Metasploit

• Para que serve: Automatizar o processo de ataque, ajudando a encontrar, validar e explorar vulnerabilidades em sistemas e redes.
• Importância: Permite que pentesters executem exploits de maneira eficiente, validem vulnerabilidades e entendam como um ataque real poderia comprometer um sistema.
• Exemplo de Uso:

# Iniciar o Metasploit
msfconsole
# Procurar um exploit específico
search name:windows smb
# Usar um exploit
use exploit/windows/smb/ms17_010_eternalblue
# Configurar o alvo
set RHOSTS <IP do alvo>
# Executar o exploit
run

2.Nmap

• Para que serve: Mapeamento de redes, descobrindo hosts e serviços, identificando sistemas operacionais e detectando vulnerabilidades.
• Importância: Fundamental para a fase de reconhecimento de um pentest, permitindo aos testers entender a topologia da rede e identificar possíveis pontos de entrada.
• Exemplo de Uso:

# Escanear um host específico e identificar serviços e versões
nmap -sV <IP>
# Escanear uma rede inteira
nmap -p 1-65535 192.168.0.0/24
# Escanear para detectar o sistema operacional
nmap -O <IP>

3.Wireshark

• Para que serve: Análise de pacotes de rede, capturando e inspecionando o tráfego de rede em tempo real.
• Importância: Crucial para entender o tráfego de rede, identificar anomalias e possíveis ataques, como interceptação de dados ou tentativas de intrusão.
• Exemplo de Uso:

# Capturar pacotes na interface eth0
tshark -i eth0
# Salvar a captura em um arquivo para análise posterior
tshark -i eth0 -w captura.pcap
# Filtrar tráfego HTTP na captura ao vivo
tshark -i eth0 -Y http

4.Burp Suite

• Para que serve: Testar a segurança de aplicações web, interceptando, analisando e modificando o tráfego HTTP e HTTPS.
• Importância: Essencial para descobrir e explorar vulnerabilidades em aplicativos web, como injeção de SQL, XSS e CSRF.
• Exemplo de Uso:
• Configurar o navegador para usar o proxy do Burp Suite.
• Interceptar uma requisição HTTP e modificar seus parâmetros.
• Utilizar o módulo Intruder para realizar ataques automatizados em parâmetros de entrada.

5.SQLMap

• Para que serve: Detectar e explorar vulnerabilidades SQL Injection em aplicações web.
• Importância: Permite que pentesters automatizem o processo de injeção de código SQL, revelando possíveis falhas que poderiam ser exploradas para acessar ou modificar dados sensíveis.
• Exemplo de Uso:

# Testar uma URL para vulnerabilidades SQL Injection
sqlmap -u "http://example.com/page.php?id=1"
# Listar bancos de dados disponíveis
sqlmap -u "http://example.com/page.php?id=1" --dbs
# Selecionar um banco de dados e listar tabelas
sqlmap -u "http://example.com/page.php?id=1" -D nome_do_bd --tables

6.Shodan

• Para que serve: Motor de busca para dispositivos conectados à internet.
• Importância: Ajuda a identificar dispositivos expostos na internet, possibilitando a descoberta de sistemas mal configurados ou vulneráveis.
• Exemplo de Uso:

# Procurar dispositivos com uma determinada porta aberta
shodan search "port:22"
# Procurar dispositivos específicos por tipo ou localização
shodan search "apache country:BR"
# Obter detalhes de um IP específico
shodan host <IP>

7.SSH-Audit

• Para que serve: Auditar as configurações de servidores SSH.
• Importância: Garante que as configurações de SSH sejam seguras, evitando vulnerabilidades que poderiam ser exploradas para ganhar acesso não autorizado.
• Exemplo de Uso:

# Analisar a configuração do servidor SSH no endereço IP fornecido
ssh-audit <IP>

8.Hydra

• Para que serve: Hydra é uma ferramenta de ataque de força bruta que permite testar várias combinações de senhas em serviços como SSH, FTP, HTTP e outros.
• Importância: Crucial para identificar senhas fracas ou comuns em serviços expostos, ajudando a reforçar a segurança de autenticação.
• Exemplo de Uso:

# Ataque de força bruta em um serviço SSH
hydra -l admin -P /path/to/password/list.txt ssh://<IP>

9.Aircrack-ng

• Para que serve: Aircrack-ng é uma suíte de ferramentas para auditoria de redes sem fio. Ela permite capturar pacotes e quebrar chaves WEP e WPA.
• Importância: Essencial para testar a segurança de redes Wi-Fi e identificar pontos fracos na criptografia e configuração de redes sem fio.
• Exemplo de Uso:

# Capturar pacotes na interface wlan0
airodump-ng wlan0
# Quebrar chave WPA usando arquivo de captura e wordlist
aircrack-ng -w /path/to/wordlist.txt -b <BSSID> /path/to/capture/file.cap

10.Nessus

• Para que serve: Nessus é uma ferramenta de varredura de vulnerabilidades que permite identificar falhas de segurança em sistemas e redes.
• Importância: Fundamental para a avaliação de vulnerabilidades em um ambiente de TI, permitindo priorizar e corrigir falhas de segurança.
• Exemplo de Uso:
• Configurar e iniciar uma varredura usando a interface web do Nessus.
• Analisar os relatórios gerados para identificar vulnerabilidades críticas.

11.Nikto

• Para que serve: Nikto é uma ferramenta de varredura de servidores web que busca vulnerabilidades conhecidas e problemas de configuração.
• Importância: Importante para a segurança de aplicações web, ajudando a identificar falhas comuns que podem ser exploradas por atacantes.
• Exemplo de Uso:

# Realizar uma varredura em um servidor web
nikto -h http://example.com

12.OpenVAS

• Para que serve: OpenVAS é uma plataforma de varredura e gerenciamento de vulnerabilidades. Ele realiza varreduras abrangentes para identificar vulnerabilidades.
• Importância: Essencial para uma análise detalhada de segurança em grandes redes, permitindo a detecção e gerenciamento contínuo de vulnerabilidades.
• Exemplo de Uso:
• Configurar e iniciar uma varredura usando a interface web do OpenVAS.
• Analisar os relatórios de varredura para mitigar vulnerabilidades identificadas.

13.Maltego

• Para que serve: Maltego é uma ferramenta de análise forense e coleta de informações que permite mapear relações e conexões entre pessoas, empresas, domínios e outras entidades.
• Importância: Útil para a fase de reconhecimento de um pentest, permitindo coletar informações detalhadas sobre alvos potenciais.
• Exemplo de Uso:
• Utilizar a interface gráfica do Maltego para realizar transformações e visualizar conexões entre diferentes entidades.

14.Hashcat

• Para que serve: Hashcat é uma ferramenta de quebra de hashes altamente eficiente que utiliza CPU e GPU para realizar ataques de força bruta e dicionário.
• Importância: Importante para testar a força de senhas e hashes armazenados, revelando possíveis fraquezas na segurança de autenticação.
• Exemplo de Uso:

# Quebrar hashes MD5 usando uma wordlist
hashcat -m 0 -a 0 <hashfile.txt> /path/to/wordlist.txt

15.John the Ripper

• Para que serve: Quebra de senhas, testando a força de senhas armazenadas.
• Importância: Ajuda a identificar e corrigir senhas fracas ou comuns que poderiam ser exploradas por atacantes para ganhar acesso não autorizado a sistemas.
• Exemplo de Uso:

# Quebrar senhas armazenadas em formato MD5 usando uma wordlist
john --format=md5 --wordlist=<wordlist.txt> <hashes.txt>
# Mostrar senhas quebradas
john --show <hashes.txt>

Conclusão

Os testes de penetração são essenciais para garantir a integridade e a segurança dos sistemas e redes. As ferramentas apresentadas neste tópico representam uma combinação poderosa de tecnologias que permitem identificar, explorar e mitigar vulnerabilidades de maneira eficaz. Cada ferramenta desempenha um papel crucial nas diferentes fases de um pentest, desde o reconhecimento inicial até a exploração e análise pós-exploração.

• Metasploit permite automatizar e executar exploits, facilitando a identificação e validação de vulnerabilidades.
• Nmap é fundamental para mapeamento e descoberta de redes, proporcionando uma visão detalhada dos serviços e sistemas operacionais em execução.
• Wireshark é indispensável para a análise de tráfego de rede, ajudando a identificar anomalias e possíveis ataques em tempo real.
• Burp Suite oferece uma abordagem abrangente para testar a segurança de aplicações web, interceptando e manipulando tráfego HTTP e HTTPS.
• John the Ripper e Hashcat são ferramentas poderosas para testar a força das senhas, revelando fraquezas que poderiam ser exploradas.
• SQLMap automatiza a detecção de vulnerabilidades de injeção SQL, essencial para a segurança das aplicações web.
• Shodan facilita a descoberta de dispositivos conectados, destacando aqueles que estão mal configurados ou vulneráveis.
• SSH-Audit garante a segurança das configurações de servidores SSH, evitando pontos fracos que possam ser explorados.
• Hydra e Aircrack-ng são críticas para testar autenticações e segurança de redes sem fio.
• Nessus e OpenVAS realizam varreduras abrangentes de vulnerabilidades, permitindo a detecção e gerenciamento contínuo de falhas.
• Nikto ajuda a identificar problemas comuns em servidores web, enquanto
• Maltego mapeia relações e conexões valiosas durante a fase de reconhecimento.

Utilizar uma combinação dessas ferramentas proporciona uma avaliação completa e detalhada da segurança, permitindo que as organizações identifiquem proativamente vulnerabilidades e implementem medidas de mitigação antes que possam ser exploradas. Com o avanço contínuo das ameaças cibernéticas, a importância de um pentest bem conduzido nunca foi tão grande. Ele não só protege os dados e sistemas, mas também fortalece a resiliência cibernética das organizações.

Ao adotar essas ferramentas e práticas, os profissionais de segurança podem assegurar que suas redes e sistemas estejam bem protegidos contra uma ampla gama de ameaças. Dessa forma, garantem a continuidade dos negócios e a confiança dos clientes e parceiros. Manter-se atualizado com as melhores práticas e evoluções em cibersegurança é vital para enfrentar os desafios contínuos do cenário de ameaças cibernéticas.