0
0
Muitos artigos narram senhas hackeadas disponíveis em massa na maligna “Dark Web”. É apresentado como evidência de que o mau comportamento dos usuários é a raiz de todos os hackers. Mas como um ex-red teamer, o usuário final não é o único prisioneiro de padrões comportamentais discerníveis.
Existe um “padrão de vulnerabilidade” no comportamento humano que se estende muito além dos usuários finais para funções de TI mais complexas. Encontrar evidências desses padrões pode dar aos hackers uma vantagem e acelerar o cronograma de comprometimento.
É uma realidade que reconheci no início de minha carreira em funções operacionais. Ajudei fisicamente a reconstruir e realocar centros de dados e religar edifícios de cima para baixo. Isso me deu uma ótima perspectiva do que é preciso para criar segurança do zero e como comportamentos e preferências inconscientes podem colocar tudo em risco. Na verdade, entender como identificar esses padrões me deu um “superpoder” muito confiável quando mudei para o red teaming, o que acabou resultando em uma concessão de patente. Mas mais sobre isso mais tarde.
Chamada Fatal
Vamos começar examinando como nosso vício em padrões nos trai — de credenciais, à operação de software, à nomenclatura de ativos.
Embora a tecnologia tenha nos proporcionado tantos benefícios, a complexidade de gerenciá-la — e os complicados controles destinados a proteger — leva as pessoas a padrões repetíveis e ao conforto da familiaridade. Quanto mais regular a tarefa ou função se torna, mais complacentes ficamos com o padrão e o que ele transmite. Para um red teamer, a capacidade de observar rotinas, do físico ao lógico, pode oferecer muita inteligência. A repetibilidade oferece oportunidade e tempo para discernir padrões e, em seguida, encontrar a vulnerabilidade nesses padrões que podem ser explorados.
Esquemas de nomenclatura internos em particular — sejam eles nomes de ativos, nomes de sistema ou agrupamentos de credenciais — se prestam a escolher palavras comuns para categorização descritiva. Eu vi uma organização que usava nomes de montanhas. E embora você não saiba qual é o sistema K2 versus Denali, ele atua como um filtro para um invasor enquanto ele explora um ambiente. Também é uma excelente ferramenta de engenharia social, permitindo que um invasor “fale a linguagem interna de TI”. Você pode perguntar, OK, mas “o que há em um nome?”
realidade brutal
Tenho certeza de que você já ouviu falar de ataques de força bruta em que os invasores lançam palpites em volume em um alvo para encontrar a combinação certa que leva ao acesso. É um jogo de números e um instrumento contundente. No entanto, se você puder discernir o uso de convenções de nomenclatura, isso aguça a capacidade de se concentrar em uma variedade de contas ou sistemas e, então, entender seus atributos potenciais. Ele acelera o relógio para um atacante.
Mas, você pergunta, “se essas são convenções internas , como um invasor externo encontra esse tipo de informação”?
Patentemente Verdadeiro
Digite minha superpotência acima mencionada. Como qualquer red teamer experiente sabe, as informações vazam das organizações de várias maneiras, você só precisa saber onde procurar e como encontrar os sinais no meio do ruído.
Grupos e convenções de nomes internos ficam expostos ao mundo exterior de várias maneiras. Eles estão enterrados no código do site, detalhados na documentação técnica ou como parte de APIs, ou simplesmente publicados em informações do sistema público.
Reconhecidamente, este é um palheiro muito grande, mas encontrar as agulhas é exatamente o que a patente na qual eu estava envolvido (Patente dos EUA 10.515.219) se esforça para fazer. As ferramentas de varredura de sites coletam uma variedade de informações e, sem surpresa, uma sobrecarga de informações. Minha abordagem remove todas as informações técnicas de programação (como marcação, JavaScript etc.) e deixa apenas palavras. Em seguida, compara os resultados com listas de palavras em inglês. O algoritmo então identifica agrupamentos de palavras ou abreviações não presentes no idioma selecionado que, presumivelmente, podem significar uma convenção de nomenclatura interna ou credenciais. Como é comum em campanhas de força bruta, pode não ser, mas, como diz o axioma, o invasor só precisa acertar uma vez,portanto, a capacidade de gerar listas de palavras sensíveis ao contexto pode fazer ou quebrar sua próxima campanha. É quando a imagem pode começar a ficar mais clara e a forma de coisas como grupos de usuários, nomes de sistemas, etc., se manifestar.
Ações falam mais alto
Assim, estabelecemos como nossos comportamentos profundamente enraizados podem trair nossa segurança literalmente com “escrever na parede”. Como mudamos, ou pelo menos nos tornamos mais conscientes de nossa própria natureza?
Há a velha piada resumida na piada de que você não precisa correr mais que um tigre – você só precisa correr mais que seus companheiros. Dessa forma, primeiro use as tecnologias básicas de “tênis” . Gerenciadores de senhas, autenticação multifator (MFA) e similares pelo menos permitem que você ultrapasse seus pares para que os invasores possam se concentrar nos retardatários do rebanho.
Em segundo lugar, opte pela mudança regular. A mudança é desconfortável, mas esse desconforto desencadeia uma melhor consciência situacional. Se você conhece melhor a si mesmo e ao seu ambiente e força a mudança, isso ajuda a impedir que um invasor o conheça muito bem.
Em seguida, confie em seu instinto . Se algo não parece certo, provavelmente não é. Se você se concentrar no fracasso e não na familiaridade do comportamento em torno do fracasso, estará mais bem equipado para ver os bandidos chegando e garantir que uma pequena anomalia não se torne um grande problema.
Finalmente, jogue xadrez, não damas . Muitas organizações pensam que estão jogando xadrez e podem estar empregando peças e papéis mais complexos, mas se, no final das contas, você está jogando em reação aos movimentos de seus oponentes, são damas disfarçadas.
É uma lição que estou ensinando ao meu próprio filho enquanto ele está interessado em aprender xadrez. Ele está aprendendo a estratégia por trás do jogo. Ele entende como usar as peças e suas características para manipular o jogo e está rapidamente percebendo que também precisa se concentrar em me manipular . Estou ensinando-o a pensar três movimentos à frente, pensar no que é possível e atrair seu oponente para fazer o que ele quer que ele faça , não o que ele quer fazer – e, o mais importante, a confiar no gambito.
FONTE: DARK READING