teorico (2)

Prévia do material em texto

Inserir Título Aqui 
Inserir Título Aqui
Segurança de 
Informação
Indo além da Segurança Tradicional - Pentest 
e Computação Forense
Responsável pelo Conteúdo:
Prof. Dr. Sandro Pereira de Melo
Revisão Textual:
Prof. Dra. Selma Aparecida Cesarin 
Nesta unidade, trabalharemos os seguintes tópicos:
• Introdução ao tema
• Orientações para leitura Obrigatória
• Material Complementar Fonte: iStock/Getty Im
ages
Objetivos
• Estudar as temáticas relevantes para o contexto de Segurança da Informação. Entre 
essas temáticas, serão estudados os conceitos de Auditoria de Controles de Segurança 
por meio da Pentest e Resposta a Incidentes de Segurança, suportados por metodologia 
e ferramenta de Computação Forense.
Caro Aluno(a)!
Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o 
último momento o acesso ao estudo, o que implicará o não aprofundamento no material 
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.
Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você 
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns 
dias e determinar como o seu “momento do estudo”.
No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões 
de materiais complementares, elementos didáticos que ampliarão sua interpretação e 
auxiliarão o pleno entendimento dos temas abordados.
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de 
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de 
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de 
troca de ideias e aprendizagem.
Bons Estudos!
Indo além da Segurança Tradicional - 
Pentest e Computação Forense
UNIDADE 
Indo além da Segurança Tradicional - Pentest e Computação Forense
Introdução ao tema
Esta Unidade tem como objetivo abordar dois temas importantes: Pentest e 
Computação Forense. Mas qual a relação desses temas com a Segurança da Informação?
A principal relação é o fato de que ambos já são práticas comuns no contexto 
de Segurança da Informação, na qual empresas utilizam a prática de Pentest como 
ferramenta para avaliar problemas de segurança, avaliar o quantos os controles e as 
Tecnologias utilizadas para prover segurança são efetivas e, dessa forma, possibilitar 
mapear melhor os riscos.
Já a Computação Forense deixou de ser uma Ciência que dá suporte exclusivo à 
Criminalística para também ser utilizada como suporte para a resposta ao incidente de 
segurança, objetivando avaliar as ameaças e os incidentes de forma mais detalhada, 
permitindo, também, avaliar num incidente o quanto uma informação sensível foi 
exposta e de que forma ocorreu essa exposição.
Pentest
Consiste em um processo que pode utilizar metodologia, técnicas e ferramentas 
como mecanismos para avaliar o quanto os controles de segurança de uma corporação 
funcionam, para avaliar ativos tecnológicos, processo e pessoas.
O Pentest é um teste de segurança realizado por um Pentester (hacker ético), 
cujo objetivo principal é tentar invadir um sistema, rede ou ambiente no qual se deseja 
detectar falhas a fim de gerar um relatório, indicando os problemas encontrados e as 
recomendações para corrigi-los.
Um segunda abordagem é definir o Pentest com recurso para ajudar a mapear 
riscos. Dessa forma, é um mecanismo importante para subsidiar informações em um 
processo de avaliação qualitativa e quantitativa dos riscos de segurança que venham a 
ser identificados.
Um Pentest pode ser aplicado em qualquer tipo de ambiente. Entre eles, destacam-se:
 · Wireless Lan;
 · Topologia de redes periféricas (DMZ);
 · Data Center com acesso à Internet;
 · Portais;
 · Extranet;
 · Intranet;
 · Pontos de Acesso via VPN;
 · Pontos de conexão Dial-up.
6
7
Pentest versus análise de vulnerabilidade
É importante lembrar que o processo de Análise de Vulnerabilidade (AV) consiste 
em fazer varreduras, utilizando Scanners customizados para identificar vulnerabilities 
em servidores ou outros ativos de rede (switches, routers, firewall etc.). Entretanto, 
com o objetivo de identificar as vulnerabilidades para corrigi-las, normalmente por meio 
da aplicação de patches, mas não com o foco intrusivo, ou seja, avaliar como uma 
vulnerabilidade identificada poderia promover uma ameaça, permitindo, assim, qualificar 
e quantificar riscos.
Um Pentest pode ser categorizado de três formas:
 · Black Box;
 · Gray Box;
 · White Box.
 · Black box – Tipo de Pentest no qual o auditor não possui qualquer 
conhecimento prévio sobre a estrutura, rede ou sistema alvo;
 · Gray box – Tipo de Pentest no qual o auditor possui conhecimento parcial 
da estrutura e da rede da Empresa;
 · White box – Tipo de Pentest no qual o auditor possui todo conhecimento 
necessário sobre a estrutura, rede ou sistema alvo.
O Pentest, a partir de um ponto de vista macro, consiste em duas etapas: “escopo 
e realização”. O Escopo é o momento no qual se define como será o Pentest e o que 
será testado: Serão testados apenas ativos tecnológicos? Serão avaliados processos? 
Serão avaliadas pessoas?
Quanto às fases da realização de um Pentest, pode-se dividir em:
 · Planejamento;
 · Execução;
 · Pós-teste.
Planejamento
Definem-se quais informações são necessárias para a realização do Pentest 
combinando, as várias técnicas de teste de segurança; o Pentester normalmente irá 
executá-las na seguinte ordem:
Pode-se iniciar com o Footprinting, que consiste no uso de ferramentas para o 
levantamento de informações básicas, como DNS e WHOIS. Informações extraídas de 
sites como archive.org também são fontes interessantes de informação, dependendo de 
qual foi o escopo do Pentest. 
Caso no escopo tenha sido definido que também serão testadas pessoas, técnicas de 
Engenharia Social deverão ser empregadas.
7
UNIDADE 
Indo além da Segurança Tradicional - Pentest e Computação Forense
Outra ação necessária durante o processo de um Pentest é a identificação dos 
Sistemas Operacionais utilizados pelos ativos alvo. Dessa forma, o uso de técnicas de 
Fingerprinting serão empregadas.
 Levantamento e mapeamento dos ativos de rede é outra ação que compõe o processo 
de um Pentest e várias técnicas deverão ser empregadas:
 · Utilização de técnicas Ports Scanning;
 · Enumeração de informações dos serviços encontrados;
 · Avaliação de Políticas de Firewall;
 · Utilização de Scanners de Vulnerabilidades.
Após todo o levantamento das informações ter sido concluído, deve-se correlacionar 
todas essas informações para que seja possível identificar quais potenciais vulnerabilidades 
poderão ser exploradas, o que irá definir quais as técnicas e ferramentas intrusivas serão 
utilizadas para subjulgar cada ativo:
 · Exploração de vulnerabilidades conhecidas nos serviços identificados;
 · Exploração de vulnerabilidades em aplicações web;
 · Técnicas de Bruteforce para serviços e cracking de senhas;
 · Teste de Negação de Serviço (DOS);
 · Escalação de privilégio.
O processo de Pentest a partir de um ponto de vista exclusivamente tecnológico 
pode ser classificado como:
 · Web Pentest – Teste em infraestrutura de servidor web;
 · Database Pentest – Teste em infraestrutura de servidor banco de dados;
 · Server Pentest – Teste em infraestrutura de servidores de serviços genéricos, 
dns, ntp, telnet e outros;
 · Wireless Pentest – Teste em infraestrutura de redes sem fio.
Metodologias
Tanto a ISO 27002 com a PCI DSS sugerem avaliar e auditar pessoas, processos e 
ativos. Dessa forma, o Pentest também pode ajudar nesses pontos. 
Outro fato que ajuda a ratificar o uso do Pentest são as metodologias como: ISSAF, 
PTES, OWASP, PTF, OSSTMM, OSSTMMWireless e o Guideline Network Security 
Testing do NIST, ou seja, fundamentando em metodologias com reconhecimento 
internacional a execução de um Pentest, passa-se a ter valor estratégico maior.
8
9
Resultado esperado de um Pentest
Ao fim da realização do Pentest, é desejado que o Pentester consolide todos os dados 
levantados, tais como:
 · Sistemas operacionais dos servidores da rede alvo;
 · Serviços de redes, versões e possíveis vulnerabilidades;
 · Possibilidades de ataques de bruteforce;
 · Dados de usuários enumerados como senhas e “id”;
 · Possibilidades de Denial of Services;
 · Possibilidades de acessos remotos arbitrários.
Deve ser entregue um relatório com tudo que foi apurado durante o Pentest, 
destacando-se como as ameaças poderão ser concebidas, explorando as falhas 
encontradas, ajudando a identificar os riscos. 
Entretanto, identificar os riscos durante um Pentest não é necessariamente fazer 
avaliação de risco. Uma avaliação pode até ser entregue no final do processo de Pentest, 
caso tenha sido acordado no escopo, mas deve-se entender que é outro processo. 
E, obviamente, o Pentester deve sugerir todos os detalhes para as correções das 
vulnerabilidades identificadas. 
É fortemente recomendado que após a correção de todas as falhas indicadas no 
relatório, faça-se um segundo Pentest para confirmar as correções.
Resposta a incidente e computação forense
A questão de Resposta a incidente é discutida já há bastante tempo. A RFC3227, 
publicada em 2002, já indicava muitos procedimentos que hoje fazem parte do processo 
inicial de coleta de dados da Forense in vivo.
A Computação Forense, inicialmente, foi criada para apoiar a criminalística, para 
ajudar nas ocorrências de crimes via meio eletrônico, em sua maioria via Internet.
Ocorreu que as ferramentas e as técnicas de Computação Forense evoluíram bastante 
e passaram a ser usadas também na Resposta a Incidente em ambientes Corporativos.
Uma forte defensora do uso de ferramentas de Computação Forense é a PCI DSS, 
pois um incidente de segurança dentro de um Instituição Financeira tem grandes 
possibilidade de iniciar como uma Resposta a Incidente tradicional e terminar com um 
Ação Judicial. 
No conjunto de documentos adicionais, a PCI DSS tem um documento dedicado 
a orientar a questão de uma Perícia Digital, que é o documento PCI Forensic 
Investigator (PFI).
9
UNIDADE 
Indo além da Segurança Tradicional - Pentest e Computação Forense
Isso ratifica que as ferramentas e metodologias do universo da Computação 
Forense já há algum tempo migraram para o contexto corporativo, para suportar 
Resposta a Incidentes de Segurança. Dessa forma, ter conhecimento das boas práticas 
de Computação Forense também deve ser parte do conjunto de habilidades de um 
profissional de Segurança da Informação.
Orientações para leitura Obrigatória
Recomendo a leitura do artigo Conceitos de Computação Forense.
Disponível em: http://ceseg.inf.ufpr.br/anais/2001/14.pdf
10
11
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
 Vídeos
Computação Forense em Imagens Digitais
https://youtu.be/zVcnzG7_f70
Tratamento de Incidentes de Seguranca na Internet, explicado pelo NIC.br
https://youtu.be/flu6JPRHW04
Hackers: Criminosos ou Heróis? [Dublado] Documentário Discovery Science
https://youtu.be/TRDV57B1Khc
 Leitura
Padrão de Segurança de Dados
https://goo.gl/EmfKQl
11
UNIDADE 
Indo além da Segurança Tradicional - Pentest e Computação Forense
Referências
ABNT NBR ISO/IEC 27001:2013 – Sistemas de gestão da segurança da informação 
– Requisitos. Brasil:2013.
ABNT NBR ISO/IEC 27002:2013 – Código de prática para controles de Segurança 
da Informação. Brasil:2013.
ABNT NBR ISO/IEC 27003:2011 – Diretrizes para Implantação de um Sistema de 
Gestão da Segurança da Informação. Brasil:2011.
ABNT NBR ISO/IEC 27004:2010 – Gestão da Segurança da Informação – Medição. 
Brasil:2010.
ABNT NBR ISO/IEC 27005:2011 – Gestão de riscos de segurança da informação. 
Brasil:2011.
ABNT NBR ISO/IEC 27011:2009 – Diretrizes para Gestão da Segurança da 
Informação para Organizações de Telecomunicações baseadas na ABNT NBR 
ISO/IEC 27002. Brasil:2009.
ABNT NBR ISO/IEC 27014:2013 – Governança de Segurança da Informação. 
Brasil:2013.
ABNT NBR ISO/IEC 27031:2015 – Diretrizes para a Prontidão para a Continuidade 
dos Negócios da Tecnologia da Informação e Comunicação. Brasil:2015.
ABNT NBR ISO/IEC 27037:2013 – Diretrizes para identificação, Coleta, Aquisição 
e Preservação de Evidência Digital. Brasil:2013.
ABNT, NBR ISO/IEC 27001 – Código de Prática para a Gestão da Segurança da 
Informação. Brasil: 2008.
BEAL, A. Segurança da Informação, Princí pios e Melhores Prá ticas para a Proteç ã o 
dos Ativos de Informaç ã o nas Organizaç õ es. São Paulo: Atlas, 2008.
GALVÃO, M. C. Fundamentos em segurança da informação São Paulo: Pearson, 2015.
12