Resumo Security+ Capítulo 6 - Segurança Cibernética

🎯 CONCEITOS MAIS IMPORTANTES PARA PROVA:

IDS vs IPS: IDS detecta e alerta (passivo), IPS detecta e bloqueia (ativo)
False Negative (não detectar ataque) é MAIS GRAVE que False Positive
Reconhecimento Passivo: não interage (OSINT, war driving) | Ativo: interage (port scan, enumeração)
Rainbow Table: tabela pré-computada de hashes - SALT torna inútil
ARP Poisoning: atacante associa seu MAC ao IP da vítima (MitM)

1️⃣ Segurança Física

Princípios dos Controles de Acesso Físico

Autenticação: Identifica pessoas autorizadas
Autorização: Cria barreiras físicas com pontos de entrada/saída definidos
Contabilização: Registra uso dos pontos de acesso e detecta violações

Dispositivos de Controle

Controles de Perímetro

Barricadas e cercas
Iluminação estratégica
Postes de segurança (anti-veículo)
Portões e fechaduras

Controles de Acesso

Vestíbulos de controle (mantraps)
Crachás RFID/NFC
PACS (sistema centralizado)
Biometria

Vigilância

Guardas de segurança
Câmeras CFTV
IA para reconhecimento

Sistemas de Alarme

Circuito fechado
Detecção de movimento
Detecção de ruído
Alarme de coação

Ataques Físicos Comuns

Força bruta: destruição de dispositivos ou arrombamento
Ambiental: interrupção de energia, refrigeração ou cabos
Clonagem RFID: falsificação de cartões de acesso

2️⃣ Reconhecimento e Monitoramento de Rede

Ferramentas de Monitoramento

Ferramenta	Função
ping	Testa conexão entre dispositivos
tracert/traceroute	Mostra caminho dos pacotes
netstat	Exibe estatísticas de rede, portas abertas
nmap	Scanner de segurança (portas, serviços, SO)
Wireshark	Analisador de protocolo

🔍 Reconhecimento Passivo

Sem interação direta:

Análise de pacotes
OSINT (redes sociais, sites)
Escuta clandestina
Shoulder surfing
War driving/flying
Vasculhar lixo

🎯 Reconhecimento Ativo

Com interação direta:

Varredura de portas
Enumeração de serviços
Identificação de SO
Enumeração DNS

Ferramentas de Reconhecimento

theHarvester - Coleta e-mails, nomes, IPs

Shodan - Busca dispositivos conectados

Dnsenum - Enumeração DNS

Nessus - Scanner de vulnerabilidades

Sn1per - Scanner automatizado

Scanless - Varredura anônima

3️⃣ Sistemas de Detecção de Intrusão (IDS/IPS)

🟡 IDS (Passivo)

Monitora, registra e detecta violações
Não bloqueia ataques
Envia alertas para análise
Não pode ser detectado na rede

🔴 IPS (Ativo)

Executa funções do IDS + reage
Encerra sessões maliciosas
Bloqueia atividades suspeitas
Automatiza respostas

Estados de Avaliação

Estado	Descrição
Positivo	Ataque detectado e bloqueado corretamente
Falso positivo	Tráfego inofensivo identificado como ofensivo
Negativo	Tráfego inofensivo passou normalmente
Falso negativo	Tráfego prejudicial não detectado (pior cenário)

Métodos de Detecção

📋 Baseado em Assinatura

Compara padrões conhecidos
Requer atualizações regulares
Mais falsos negativos

📊 Baseado em Heurística

Define linha de base e detecta anomalias
Detecta ataques desconhecidos
Mais falsos positivos

Implementação

💻 HIDS (Host-based)

Instalado no sistema individual
Monitora atividades locais
Analisa tráfego criptografado
Ex: software antivírus

🌐 NIDS (Network-based)

Dispositivo dedicado na rede
Fora da banda ou em linha
Detecta varreduras e DoS
Não analisa tráfego criptografado

4️⃣ Analisadores de Protocolo

Funcionamento

Captura frames de toda a rede
Requer modo promíscuo na placa de rede
Usa espelhamento de portas em switches
Dispositivo passivo por padrão

Filtros

Filtro de captura: Grava apenas frames específicos
Filtro de exibição: Mostra apenas frames que correspondem aos critérios

Usos por Função

Função	Uso
Administrador de rede	Monitora tráfego, protocolos, desempenho, soluciona problemas
SecOps	Identifica frames malformados, descobre senhas em texto claro, localiza portas abertas
Usuário malicioso	Coleta informações, spoofing, MITM, identificação de SO

Ferramentas Comuns

Wireshark

Ethereal

Tcpdump

Ettercap

Dsniff

Cain e Abel

5️⃣ Análise de Ataques de Rede

Ciclo de Vida do Ataque Cibernético

1. Reconhecimento (scanning, fingerprinting)

2. Coleta de credenciais

3. Negação de serviço (DoS)

4. Armamentização e entrega

5. Comando e controle (C2)

6. Movimento lateral

7. Exfiltração de dados

Tipos de Ataques

DDoS (Distributed Denial of Service)

Consome largura de banda ou recursos
SYN flood: esgota conexões pendentes
Ataques refletidos (DRDoS): usa terceiros falsificando IP da vítima
Ataques amplificados: explora DNS, NTP, CLDAP, Memcached
Indicador: picos de tráfego inexplicáveis

On-Path (Man-in-the-Middle)

Intercepta e monitora comunicações
ARP poisoning: falsifica tabelas ARP (gratuitous ARP é indicador)
Pode modificar tráfego secretamente

Ataques DNS

Typosquatting: domínios similares para enganar
Envenenamento de cache DNS: corrompe registros
On-path DNS: ARP poisoning + respostas falsas
Envenenamento do servidor DNS: DoS + spoofing
Usado para comando e controle (C2)

Código Malicioso - Indicadores

Shellcode: explora vulnerabilidades
Dumping de credenciais: SAM, lsass.exe, DCSync
Movimento lateral: PsExec, PowerShell
Persistência: AutoRun, tarefas agendadas, WMI

Linguagens/Ferramentas Maliciosas

Linguagem	Características
Python	Popular para RATs, multiplataforma, mas requer Python instalado
PowerShell	Fileless malware (memória), difícil detecção
Bash	Servidores Linux/MacOS, Shellshock
Macros (VBA)	Office, pode abrir shell no Windows

6️⃣ Ataques de Senha

Ataques Online vs Offline

🌐 Online

Interage com sistema de autenticação
Aparece em logs
Mitigação: limitar tentativas, bloquear IPs
Risco: pode causar DoS legítimo

💾 Offline

Rouba banco de hashes (SAM, NTDS.DIT)
Sem limitações de tentativas
Pode usar packet sniffer
Indicador: logs de acesso a credenciais

Técnicas de Ataque

Técnica	Descrição	Defesa
Engenharia Social	Adivinhação, manipulação, shoulder surfing, dumpster diving	Educação de usuários
Força Bruta	Testa todas combinações. Password spraying (mesma senha em várias contas)	Bloqueio de conta
Dicionário	Lista de palavras comuns	Políticas de complexidade
Rainbow Table	Tabela pré-computada de hashes (30-300GB)	SALT

Ferramentas de Ataque

John the Ripper - Cracker

Hashcat - Cracker com GPU

Medusa - Força bruta

Cain and Abel - Suite

Ophcrack - Rainbow tables

rcrack - Rainbow crack

Boas Práticas de Senha

Mínimo 8 caracteres (quanto mais, melhor)
Combinar maiúsculas, minúsculas, números e símbolos
Evitar palavras/frases comuns
Usar passphrases em vez de senhas simples
Implementar salting nos hashes
Políticas de bloqueio após tentativas falhadas
Documentos devem ser triturados

⚠️ SALT: Adicionar caracteres aleatórios ao hash torna as rainbow tables INÚTEIS!

💡 DICAS FINAIS PARA PROVA:

IDS vs IPS: IDS alerta (passivo), IPS bloqueia (ativo)
False Negative (não detectar) é MAIS GRAVE que False Positive
ARP poisoning → DAI (Dynamic ARP Inspection)
HIDS: analisa tráfego criptografado | NIDS: não analisa
Rainbow table: funciona sem salt, com salt é inútil
PowerShell: fileless malware (só memória)
Password spraying: mesma senha em várias contas (evita lockout)
War driving: busca redes Wi-Fi abertas

📘 Capítulo 6: Segurança Cibernética