Legal Informatics Lab - LILAB
Data: 29/04/2024
Relatores: Luís Teberga, Pedro Pazzini, Juliana Costa
A reunião sobre segurança de redes, referente ao capítulo 12 do Livro CompTIA® Security+® Study Guide de Mike Chapple e David Seidl foi realizada no dia 29/05/2024 e teve, como palestrantes Luís Teberga, Pedro Pazzini e Juliana Costa.
Pretendia-se abordar os seguintes temas: Implementando Redes Seguras; O modelo OSI; Segmentação de Redes; Controle de Acesso de Redes; Proteção de Portas; VPN; Ferramentas de Rede e Segurança ; Segurança de Redes, Serviços e Gerência; Protocolos Seguros; Modos de autenticação criptográficos; Atacando e avaliando Redes; e Reconhecimento de Redes e técnicas e ferramentas para descobrimento.
A primeira parte da conversa teve como objetivo introduzir alguns tópicos a serem mais aprofundados futuramente. Ademais, o objetivo era salientar a importância e relevância do assunto para a segurança da informação. Isso se deu por meio da mostra de notícias veiculadas na imprensa que destacavam invasões aos sistemas de justiça que trouxeram diversos transtornos para a sociedade.
Em seguida, passou-se a discutir o modelo OSI. A compreensão do modelo OSI é fundamental para profissionais que atuam com segurança cibernética e, em especial, segurança de rede. Ele possui uma característica modular que facilita a sua compreensão e comunicação entre sistemas. Ademais, tal modularidade facilita a criação de novas funcionalidades/protocolos. Por fim, ele simplifica o desenvolvimento de aplicações pois ele abstrai uma série de funcionamentos da rede. Por fim, foi dado um exemplo de como uma requisição HTTP funciona em alto nível.
Em seguida, passou-se a discutir a segmentação de redes. Esta é uma abordagem que traz as seguintes vantagens: otimiza o tráfego dos dados; facilita o monitoramento; aumenta a segurança da rede por estabelecer diferentes políticas de segurança à diferentes ativos da rede, podendo assim, aplicar uma política mais rígida à ativos mais sensíveis. Por fim, discutiu-se o conceito de DMZ e de Zero Trusted Networks. Neste ponto, foi mencionado pelo Tarik da praticidade de implementação do conceito de Zero Trusted Networks em arquiteturas reais de rede, isto é, o quão factível é a sua implementação no mundo real. A problematização é pertinente, pois uma implementação à risca das Zero Trusted Networks torna as redes inutilizáveis por parte dos usuários devidos aos excessivos mecanismos de segurança, assim como a manutenção e monitoramento por parte de profissionais de segurança uma tarefa extremamente laboriosa.
Passou-se, então, a discutir o Controle de Acesso das redes, que possui os seguintes pilares: autenticação, autorização, implementação de políticas de acesso e monitoramento. Comentou-se brevemente, sobre os IDSs e sobre o software PacketFence.
Foi abordada a função Port Security que é uma característica de segurança em switches de rede que limita o número de dispositivos que podem se conectar a uma porta específica. Funciona associando endereços MAC autorizados a portas individuais e rejeitando o tráfego de dispositivos com endereços MAC não autorizados.
Isso impede ataques de MAC spoofing, nos quais um invasor tenta assumir a identidade de um dispositivo legítimo falsificando seu endereço MAC. Como a porta só aceita tráfego de dispositivos com endereços MAC autorizados, o invasor é bloqueado.
Além disso, a função Port Security ajuda a evitar ataques de cam table overflow. Esse tipo de ataque ocorre quando um invasor envia um grande número de quadros com diferentes endereços MAC para sobrecarregar a tabela CAM (Content Addressable Memory) do switch, causando falhas ou permitindo a interceptação de tráfego. Com o Port Security configurado, o switch aceita apenas os endereços MAC autorizados, reduzindo significativamente o risco de sobrecarga da tabela CAM.
Prevenção de Loop: Os loops de rede podem ocorrer quando há caminhos redundantes entre switches, fazendo com que os pacotes de dados circulem indefinidamente. Protocolos como o Spanning Tree Protocol (STP) são usados para identificar e desativar esses caminhos redundantes, evitando loops e garantindo uma rede estável.
Prevenção de Tempestade de Broadcast (Broadcast Storm Prevention): Uma tempestade de broadcast ocorre quando um grande número de mensagens de broadcast é gerado e circula pela rede, consumindo largura de banda e recursos dos dispositivos. Para evitar isso, os switches podem limitar a propagação de mensagens de broadcast, descartando ou filtrando essas mensagens quando necessário.
Bridge Protocol Data Unit (BPDU) Guard: O BPDU É um tipo de pacote usado pelos switches para trocar informações sobre a topologia da rede, como identificar loops e determinar as melhores rotas essa ferramenta evita que dispositivos que não deveriam enviar esse tipo de mensagem, enviem, atrapalhando o funcionamento da rede.
Dynamic Host Configuration Protocol (DHCP) snooping: O DHCP é um protocolo de rede usado para atribuir automaticamente endereços IP e outras configurações de rede para dispositivos em uma rede. O snooping do DHCP é quando um servidor pirata passa a atuar como um DHCP legítimo enviando dados de configuração para as máquinas da rede. Uma opção de segurança é condicionar essa troca de informações aos MACs previamente configurados na rede.
Port Spanning, também conhecido como Port Mirroring, é uma técnica usada em switches de rede para copiar o tráfego de uma ou mais portas e enviar essas cópias para outra porta designada. Essa funcionalidade é frequentemente usada para fins de monitoramento e análise de tráfego de rede.
Por exemplo, suponha que você queira monitorar o tráfego de uma determinada porta de switch para fins de análise de segurança ou solução de problemas. Você pode configurar o Port Spanning para copiar todo o tráfego dessa porta e enviá-lo para uma porta de monitoramento. Então, você pode conectar um dispositivo de análise de rede a essa porta de monitoramento para examinar o tráfego sem interromper a operação normal da rede.
Essa técnica é valiosa para administradores de rede, pois permite a observação do tráfego em tempo real sem afetar o fluxo normal de dados na rede. Pode ser usado para detectar atividades maliciosas, monitorar o desempenho da rede ou solucionar problemas de conectividade.
No tocante as VPNs, ou rede privada virtual, estas são criadas através de um Link de rede virtual através de uma rede pública. Estas possuem um acesso seguro e troca de dados confidenciais em uma infraestrutura de rede compartilhada.
A VPN IPSec é uma rede privada virtual que permite aos usuários navegar na internet de maneira anônima e segura. Usa-se o IPSec para criar túneis criptografados na Internet. A VPN SSL, ou Secure socket Layer é o serviço de segurança que protege o tráfego da web. Atualmente utiliza-se a TLS na implementação desta tecnologia.
A VPN pode ser escolhida através da maneira como for utilizada e também em razão do tráfego. Podem ser tanto de túnel dividido quanto de túnel completo.
Existem diferentes tipos de dispositivos de rede. As organizações podem utilizar dispositivos de hardware para fins especiais, máquinas virtuais, softwares em nuvem, versões híbridas, gratuitas ou não. Tudo de acordo com suas necessidades.
Jump servers são sistemas seguros e utilizados para fornecer acessos a jumpboxes, que são conhecidas como zonas de segurança.
Já o Load balancing é uma técnica de distribuição de tráfego de rede entre servidores diversos, que facilitam correções, otimizam desempenhos, disponibilidade, escalabilidade, e são utilizados em infraestruturas tanto de serviços web quando de outras redes. O objetivo dele é que nenhum servidor fique sobrecarregado, melhorando a disponibilidade e o desempenho dos serviços.
Os Proxys servers atuam como intermediários entre um cliente e outro servidor. Podem ser reversos - reverse proxies ou foward proxies. Enquanto um fica entre os servidores e os clientes, equilibrando as informações e o conteúdo, o outro roteia o tráfego entre o cliente e o outro sistema, geralmente externo a rede.
Também conhecido como NAT, os Networks Address Translation Gateways são sistemas utilizados para modificar os endereços de IP, substituindo o IP privado por um IP público. Este último é usado nos roteadores domésticos e empresariais.
Os Filtros de conteúdo e URL servem, necessariamente, para proteção de conteúdos maliciosos e inapropriados, gerenciando o uso da internet, restringindo e bloqueando acessos, além de gerenciar o uso da internet.
No que pertine a Proteção de Dados, esta está associada a necessidade de conter dados que possam ser extraídos de maneira inadvertida. O DLP ou data loss prevention é muito comum e muito utilizados nestes casos, pois bloqueiam o tráfego de informações relevantes, como os dados sensíveis por exemplo.
IDS e IPS significam, respectivamente, Intrusion Detection e Intrusion Prevention Systems. Ambos são sistemas utilizados para detectar e prevenir intrusões. Enquanto um bloqueia ameaças, outro as bloqueia. Para tanto, utilizam 3 métodos de detecção para identificar o tráfego indesejado e potencialmente malicioso, denominados: signature-based detections, as detecções heurísticas e as detecções baseadas em anomalias.
Hardware Security Modules (HSMs) são módulos de segurança de hardware, dedicados a proteção de chaves criptográficas e outros dados confidenciais. Realizam operações de criptografias e descriptografias, permitem assinaturas digitais e autenticações de usuários de dispositivos.
Equipamentos de data centers também podem atuar como sensores, recolhendo dados sobre o ambiente físico, o tráfego de rede ou outras informações de que os serviços a gestão centralizada necessitem para garantir a continuidade das operações da organização.
Os Firewalls são dispositivos de segurança utilizados tanto em rede quanto individuallmente, e utilizado por muitos sistemas. Os sistemas que não utilizam, usam muitas aplicações semelhantes a ele. Dois exemplos de firewall são o stateless firewalls, que são o tipo mais básico de filtro ou o statefull firewalls, que são firewalls mais dinâmicos.
Os dispositivos e gerenciamento unificados de ameaças ou UTMs frequentemente incluem firewall, IDS/IPA, anti-malware, filtragem e segurança de url e email, prevenção contra perda de dados, VPN e recursos de monitoramento e análise de segurança.
A gestão de rede deve ser realizada de maneira segura, utilizando as ferramentas e capacidades de segurança incorporadas nos seus dispositivos de rede.
Qualidade de serviço. Trata-se da capacidade de garantir que uma aplicação, serviço ou tráfego de rede tenha prioridade e seja capaz de cumprir os objetivos a que se destina. É gerida pelas capacidades de qualidade de serviço (QoS).
As redes dependem de protocolos de roteamento para determinar o caminho que o tráfego deve seguir em relação a outras redes. Deve existe, para tanto, uma rota de segurança.
Os DNS, sistemas de Nomes de Domínio, são os responsáveis por localizar e traduzir para números IP (Internet Protocol) os endereços dos sites que digitamos nos navegadores e eles (DNS), não são um protocolo seguro. Uma ferramenta usada para ajudar a proteger que os problemas de DNS ocorram é denominada de sinkhole de DNS.
Segure Sockets Layer/Transport Layer Security. Trata-se da capacidade de encriptar dados à medida que são transferidos e é fundamental para a segurança de muitos protocolos.
As tecnologias Deception e Disruption são ferramentas utilizadas para proteção de ambientes de TI contra ataques cibernéticos sofisticados. Enquanto a Deception cria um ambiente virtual, implantando dados falsos, semelhantes aos sensíveis, na rede de uma empresa e com o objetivo de enganar os cibercriminosos que conseguirem passar pelos bloqueios de segurança, o Disruption atua ativamente para interromper e impedir o progresso dos ataques cibernéticos, utilizando técnicas como honeypots, sandboxes e análise comportamental, dentre outros.
No que pertine aos protocolos seguros, sabe-se que escolher e implementar protocolos seguros de maneira adequada é fundamental para uma estratégia de defesa profunda. Eles podem ajudar a garantir que uma violação do sistema ou da rede não resulte em exposição adicional do tráfego de rede.
A verdade é que os profissionais de segurança precisam ser capazes de recomendar o protocolo certo para cada um dos cenários, por exemplo: quando houverem situações de voz e de vídeo, tráfegos de e-mails e da web, File Transfer Protocol, serviços de diretório como LDAP, dentre outros.
A seguir passou-se aos modos autenticado, não-autenticado e counter são modos de operação de cifragem simétrica com blocos, como o AES (Advanced Encryption Standard). Aqui está uma breve explicação de cada um:
Modo Autenticado (Authenticated Mode): Neste modo, além de criptografar os dados, uma tag de autenticação é gerada juntamente com o texto cifrado. Essa tag é usada para verificar a integridade e autenticidade dos dados durante a decifragem. O modo autenticado é especialmente útil quando há preocupações com a autenticidade e integridade dos dados, como em comunicações seguras ou armazenamento de dados sensíveis.
Modo Não-autenticado (Unauthenticated Mode): Neste modo, os dados são apenas cifrados, sem a geração de uma tag de autenticação. Isso significa que, embora os dados sejam protegidos contra visualização não autorizada, não há garantia de que não tenham sido modificados. Este modo pode ser adequado em situações onde a autenticidade dos dados não é uma preocupação crítica, ou quando a integridade dos dados é verificada separadamente.
Modo Contador (Counter Mode): Neste modo, os dados são cifrados utilizando um contador único como entrada do algoritmo de cifragem. Cada bloco de texto claro é combinado com um valor único do contador e, em seguida, cifrado. O modo counter é amplamente utilizado em aplicações que exigem alta performance e paralelismo, como o streaming de dados e o armazenamento em disco, devido à sua capacidade de paralelização eficiente e baixa latência. Além disso, ele oferece segurança contra ataques de replay quando utilizado corretamente.
Após, foram abordados alguns ataques dentro do escopo do capítulo, se iniciando pelo ataque Man-in-the-Middle (MITM) que ocorre quando um invasor intercepta e potencialmente altera as comunicações entre duas partes, sem que elas saibam. O invasor se posiciona entre as partes comunicantes, agindo como intermediário, e pode ler, modificar ou até mesmo injetar dados na comunicação.
O MITM pode ser realizado de várias maneiras, como através do envenenamento de ARP (Address Resolution Protocol), onde o invasor falsifica os endereços MAC na tabela ARP do switch ou do roteador; ou através de ataques de DNS spoofing, onde o invasor redireciona as solicitações de DNS para um servidor falso controlado por ele.
Este tipo de ataque é particularmente perigoso, pois pode comprometer a confidencialidade, integridade e autenticidade das comunicações, permitindo ao invasor obter informações sensíveis, como senhas ou dados financeiros, ou realizar ações maliciosas em nome das partes envolvidas. Para mitigar o MITM, são utilizadas técnicas como criptografia de ponta a ponta, autenticação forte e monitoramento ativo da rede.
Na sequência foram abordados ataques de Domínio, no caso o Domain Hijacking e Domain Poisoning que são duas ameaças distintas relacionadas à segurança de domínios na internet:
Domain Hijacking (Sequestro de Domínio): O Domain Hijacking ocorre quando um invasor obtém ilegalmente o controle de um domínio registrado por outra parte legítima. Isso pode ser feito por meio de técnicas como a obtenção não autorizada das credenciais de acesso do registrante legítimo, exploração de vulnerabilidades nos sistemas de registro de domínios ou manipulação das informações de registro. Uma vez que o invasor assume o controle do domínio, ele pode redirecionar o tráfego para sites maliciosos, comprometer a integridade das comunicações ou até mesmo prejudicar a reputação do proprietário legítimo do domínio.
Domain Poisoning (Envenenamento de Domínio): O Domain Poisoning envolve a manipulação maliciosa dos sistemas de resolução de nomes de domínio (DNS) para redirecionar o tráfego legítimo para destinos fraudulentos. Isso pode ser feito através de técnicas como a alteração dos registros DNS de um domínio ou a inserção de informações falsas nos servidores DNS. O objetivo do envenenamento de domínio pode ser roubar informações confidenciais, espalhar malware ou realizar ataques de phishing, onde os usuários são enganados para visitar sites falsos que se passam por legítimos.
Ambos os tipos de ameaças representam sérios riscos à segurança e confiabilidade dos serviços online. Para mitigar essas ameaças, é importante que os proprietários de domínios adotem práticas de segurança robustas, como o uso de autenticação de dois fatores para acessar contas de registro de domínios, a implementação de medidas de segurança de DNS, como DNSSEC (Domain Name System Security Extensions), e a vigilância constante contra atividades suspeitas relacionadas aos seus domínios.
Sobre os ataques da Camada 2 (Enlace de Dados), foi ressaltado que são ataques utilizados por quem já ganhou acesso à rede. Podendo ser:
ARP Poisoning (Envenenamento de ARP): O ARP Poisoning é um ataque em que um invasor envia pacotes ARP falsificados em uma rede local, a fim de associar endereços IP legítimos a endereços MAC falsos. Isso pode levar a uma situação em que o tráfego destinado a um determinado endereço IP é redirecionado para o endereço MAC controlado pelo invasor. Este tipo de ataque pode ser usado para interceptar ou modificar o tráfego de rede, realizar ataques de homem no meio (MITM) e comprometer a segurança da rede.
MAC Flooding (Inundação de MAC): No ataque de MAC Flooding, o invasor envia um grande número de quadros com endereços MAC falsificados para um switch de rede. Isso faz com que a tabela CAM (Content Addressable Memory) do switch fique saturada com endereços MAC falsos, forçando o switch a operar em modo de encaminhamento, onde ele encaminha todos os pacotes para todas as portas, em vez de encaminhá-los apenas para a porta correta. Isso pode resultar em um grande consumo de largura de banda e em uma queda no desempenho da rede.
MAC Cloning (Clonagem de MAC): A clonagem de MAC é uma técnica na qual um invasor copia o endereço MAC de um dispositivo legítimo e o utiliza em seu próprio dispositivo. Isso pode ser feito por razões de anonimato, para evitar restrições de segurança baseadas em MAC ou para realizar ataques de rede, onde o invasor se faz passar por um dispositivo legítimo na rede. A clonagem de MAC pode ser eficaz para contornar certos controles de acesso à rede, mas não é uma técnica sofisticada e pode ser facilmente detectada e mitigada por administradores de rede vigilantes.
Passou-se então a discutir os ataques DDoS (Distributed Denial of Service) que, baseados em rede, são realizados através de uma rede de dispositivos comprometidos, conhecidos como botnets, que coordenadamente inundam um alvo com tráfego malicioso. Esses ataques sobrecarregam os recursos de rede do alvo, como largura de banda, capacidade de processamento ou conexões, tornando os serviços indisponíveis para usuários legítimos. Os ataques DDoS baseados em rede podem utilizar diversos métodos, como o Flood de pacotes SYN, amplificação de DNS, inundação de ICMP, entre outros, buscando explorar vulnerabilidades em protocolos de rede para maximizar o impacto do ataque. Esses ataques representam uma ameaça significativa para organizações e provedores de serviços online, exigindo a implementação de medidas de segurança robustas, como firewalls, sistemas de detecção e mitigação de DDoS e soluções de filtragem de tráfego.
Ataques DDoS baseados em Internet das Coisas (IoT) exploram dispositivos conectados à internet, como câmeras de segurança, roteadores e dispositivos domésticos inteligentes, que muitas vezes possuem pouca ou nenhuma segurança. Os invasores comprometem esses dispositivos para formar botnets massivas, que são usadas para lançar ataques DDoS, sobrecarregando os recursos de rede dos alvos. Esses ataques representam uma ameaça crescente devido ao grande número de dispositivos IoT vulneráveis e à falta de conscientização sobre segurança por parte dos usuários.
O próximo tópico foram comandos e ferramentas de redes, com alguns destacados como:
Ping: O comando Ping é usado para verificar a conectividade de rede entre dois dispositivos. Ele envia pacotes de teste para um destino específico e recebe respostas, fornecendo informações sobre a latência e a perda de pacotes.
Tracert: O comando Tracert (ou traceroute em sistemas baseados em Unix) é usado para rastrear a rota que os pacotes de dados tomam de um dispositivo para outro através da internet. Ele mostra uma lista de todos os saltos (hops) entre o dispositivo de origem e o destino, identificando cada roteador ao longo do caminho.
Pathping: O Pathping é um comando híbrido que combina as funcionalidades do Ping e do Tracert. Ele rastreia a rota dos pacotes de dados como o Tracert, mas também fornece informações sobre a latência em cada salto semelhante ao Ping.
Nslookup: O comando Nslookup é usado para consultar servidores de nomes de domínio (DNS) para obter informações sobre registros DNS específicos, como endereços IP associados a nomes de domínio ou registros de MX para endereços de e-mail.
Dig: Similar ao Nslookup, o comando Dig (Domain Information Groper) é usado para consultar servidores de nomes de domínio para obter informações detalhadas sobre registros DNS, como registros de autoridade, registros de servidor de nomes e informações de tempo de vida (TTL). É uma ferramenta mais avançada e flexível que o Nslookup.
Ipconfig: O comando Ipconfig (Windows) ou ifconfig (Unix/Linux) exibe informações sobre as configurações de rede de um dispositivo, incluindo o endereço IP, máscara de sub-rede, gateway padrão e informações sobre adaptadores de rede.
Arp: O comando ARP (Address Resolution Protocol) é usado para exibir e manipular a tabela ARP de um dispositivo, que mapeia endereços IP para endereços MAC dentro de uma rede local. Ele também pode ser usado para limpar a tabela ARP ou adicionar entradas manualmente.
Route: O comando Route (ou route print no Windows) é usado para exibir ou manipular a tabela de roteamento de um dispositivo. Ele mostra as rotas disponíveis para diferentes redes e permite adicionar, modificar ou excluir rotas, sendo útil para diagnosticar e configurar a conectividade de rede.
Foi apresentado de forma mais detida o Nmap que é uma poderosa ferramenta de escaneamento de rede usada para descobrir dispositivos na rede, mapear redes, identificar serviços em execução em hosts remotos e detectar vulnerabilidades de segurança. Ele oferece uma variedade de opções de escaneamento, desde escaneamentos simples de portas até escaneamentos mais complexos e abrangentes.
Além disso, foi mencionado o Nessus que, por outro lado, é uma ferramenta de varredura de vulnerabilidades que realiza auditorias de segurança em sistemas e redes. Ele identifica e avalia vulnerabilidades de segurança em hosts remotos, aplicativos e dispositivos de rede. O Nessus fornece relatórios detalhados sobre as vulnerabilidades encontradas e recomendações para mitigá-las. É uma ferramenta valiosa para administradores de sistema e profissionais de segurança cibernética para garantir a segurança de suas redes e sistemas.
Falou-se brevemente do Netcat, que é uma ferramenta de linha de comando que funciona como uma espécie de "canivete suíço" para redes. Ele pode ser usado para criar conexões TCP ou UDP, escutar portas, transferir dados, realizar testes de conectividade e até mesmo como uma "backdoor" em sistemas. O Netcat é conhecido por sua simplicidade e flexibilidade, sendo muito utilizado por administradores de sistema, pentesters e hackers éticos.
Além disso, tivemos o Curl que é muito utilizado para fazer requisições HTTP, HTTPS, FTP, entre outros protocolos de forma simples e eficiente. O Curl suporta uma ampla gama de opções e pode ser integrado em scripts para automação de tarefas relacionadas a transferência de dados pela rede. É comumente utilizado para testar APIs, fazer downloads de arquivos, realizar requisições HTTP personalizadas e muito mais.
Tratou-se brevemente sobre Ferramentas de OSINT, no caso os:
The Harvester: Esta ferramenta é usada para reunir informações relacionadas a e-mails, subdomínios, hosts virtuais e open ports de vários mecanismos de pesquisa públicos e outros recursos, como motores de busca, sites de redes sociais e repositórios de código-fonte. O Harvester é eficaz para reunir dados que podem ser usados em testes de segurança, investigações de fraude ou inteligência competitiva.
Sn1per: O Sn1per é uma ferramenta de penetração automatizada que combina várias técnicas de varredura e exploração em um único framework. Ele pode ser usado para realizar varreduras de portas, enumerar serviços, detectar vulnerabilidades, encontrar subdomínios, entre outras tarefas relacionadas à segurança de rede. O Sn1per é projetado para facilitar o processo de coleta de informações e identificação de vulnerabilidades em alvos específicos.
Dnsenum: Esta ferramenta é usada para enumerar informações relacionadas a DNS de um domínio específico. Ele pode ser usado para descobrir subdomínios, identificar servidores de nomes autoritativos, enumerar registros DNS, detectar servidores de e-mail e muito mais. O Dnsenum é uma ferramenta valiosa para administradores de rede, pentesters e pesquisadores de segurança que desejam obter uma visão detalhada da infraestrutura de DNS de um alvo.
Scanless: O Scanless é uma ferramenta de linha de comando que facilita a execução de varreduras de portas sem a necessidade de configurar ou manter uma infraestrutura de varredura. Ele aproveita serviços de varredura de portas online, como o Scanme.nmap.org, para realizar varreduras de portas em hosts específicos. O Scanless é útil para realizar varreduras rápidas e discretas de portas em alvos específicos, sem atrair a atenção indesejada de sistemas de detecção de intrusão.
Falou-se sobre sniffers como o caso do TCPDump que é uma ferramenta de linha de comando usada para capturar e analisar pacotes de rede em sistemas de base Unix. Ele permite visualizar o tráfego de rede em tempo real ou gravar para análise posterior.
O Wireshark, por outro lado, é uma ferramenta mais robusta e com interface gráfica, também usada para análise de tráfego de rede. Ele oferece recursos avançados de filtragem, decodificação de protocolos e análise detalhada de pacotes, tornando-o uma escolha popular para profissionais de redes e segurança da informação.
Conclui-se falando sobre sandboxing, no caso do Cuckoo que é uma ferramenta de análise de malware de código aberto. Ele automatiza o processo de execução de arquivos suspeitos em um ambiente virtualizado e monitora seu comportamento para identificar atividades maliciosas. O Cuckoo gera relatórios detalhados sobre o comportamento do malware, ajudando os analistas de segurança a entender sua funcionalidade e mitigar ameaças sem riscos de contaminar o computador ou a rede fazendo a análise.