Módulo 3 - Pentest e Vulnerabilidades

Prévia do material em texto

Tipos e atributos de ator de ameaça
Tipos de atores
Script kiddies
Um invasor que tenta lançar ataques usando código ou scripts existentes é conhecido como script kiddie. Um script kiddie é um novato entre os invasores. Embora os scripts kiddies não sejam altamente qualificados ou bem financiados, eles podem ocasionalmente obter acesso a código malicioso e lançar ataques sérios. Os scripts kiddies lançam esses ataques porque são tentados a ver o que seus ataques podem fazer ou simplesmente porque estão entediados.
Hacktivist
Um hacktivista é alguém que lança um ataque para divulgar uma causa ou porque está praticando ativismo. O hacktivista pode ser membro de um grupo ativista. Eles normalmente não realizam esses ataques para lucro pessoal.
Crime organizado
Os grupos organizados de ciberataques podem variar em tamanho e capacidade. A Symantec expôs um grupo criminoso bem organizado, chamado Butterfly, que estava envolvido em espionagem corporativa. Eles extraíram com sucesso dados confidenciais de várias empresas.
O principal motivador de grupos organizados de hackers é a ganância. Eles vendem informações roubadas para quem pagar o valor mais alto.
Estados-nação/APTs
Os governos dos estados-nação também podem organizar grupos de hackers para lançar ataques aos recursos de outro país. Um ataque direcionado a uma rede específica é conhecido como Ameaça Persistente Avançada (APT). Os grupos que realizam APTs são normalmente bem organizados e tecnologicamente capacitados. O perigo dos APTs é que eles podem persistir por um longo período de tempo, dando aos invasores tempo suficiente para roubar grandes volumes de dados.
Insiders
Como o nome indica, os insiders fazem parte de uma organização e têm acesso autorizado aos ativos da organização. Um ataque interno pode resultar em indisponibilidade de recursos e perda de integridade e confidencialidade. Nem todos os funcionários têm o mesmo nível de acesso. Funcionários com um nível de acesso mais alto podem causar mais danos.
Concorrentes
Geralmente realizam ataques para obter acesso a informações confidenciais sobre outra organização.
Atributos de atores
Interno/externo
Um invasor que faz parte de uma organização é um insider ou atacante interno. Os invasores externos não fazem parte da organização alvo.
Nível de sofisticação
Os níveis de sofisticação variam entre os atores da ameaça. Alguns grupos criminosos organizados e invasores que lançam APTs são consideravelmente sofisticados, enquanto grupos menores costumam ser menos avançados. Os scripts kiddies normalmente carecem de capacidade e sofisticação.
Recursos/financiamento
Grupos organizados por governos, grandes grupos criminosos organizados e alguns concorrentes têm financiamento substancial e tecnologia avançada. Hackers individuais, script kiddies, hacktivistas e pequenos grupos geralmente não têm financiamento.
Intenção/motivação
Os atores da ameaça podem ser motivados por questões diferentes. Com script kiddies, o motivo pode ser tédio, curiosidade ou o desejo de ver do que eles são capazes. Hacktivistas agem por uma causa ou por um movimento. Os criminosos organizados são movidos pela ganância.
Uso de inteligência de código aberto
Os invasores obtêm dados de informações publicamente disponíveis nas redes sociais e nos sites da empresa. Isso é conhecido como inteligência de código aberto.
Conceitos de pentest (teste de penetração)Ferramenta externa
O pen testing, também chamado de hacking ético ou teste de penetração, examina um aplicativo da web, sistema ou rede em busca de pontos fracos que os hackers possam explorar. Essa prática testa a força e a adequação dos controles de segurança implantados em aplicativos, computadores ou redes. O hacking ético emprega métodos de teste de reconhecimento ativo e passivo.
Os testadores de penetração revelam e documentam vulnerabilidades em aplicativos, sistemas e redes para tornar uma organização ciente das ameaças à segurança. Isso permite que a empresa avalie o impacto provável de cada ameaça.
O teste de penetração permite que as organizações implementem políticas de segurança robustas.
Os testadores de penetração precisam definir a extensão de um teste e conduzi-lo em um momento apropriado para evitar interferências nas operações de negócios ou resultar na indisponibilidade ou danos do sistema. A gerência e todos os funcionários envolvidos precisam ser informados sobre um teste com antecedência.
Alguns testes são executados em sistemas de teste em vez de sistemas ativos.
Reconhecimento ativo
Envolve o uso de ferramentas para se comunicar com um alvo. O testador de penetração envia pacotes de dados para sistemas de destino e executa uma análise das respostas desses sistemas.
O reconhecimento ativo pode começar com uma varredura da rede ou do sistema. Os testadores de penetração usam ferramentas para reconhecimento ativo, como scanners de rede, incluindo Nmap, Nagios e Nessus, além de scanners de vulnerabilidade.
Existem implicações legais porque o reconhecimento ativo envolve a interação com um alvo. Um testador de penetração deve obter autorização antes de conduzir testes que envolvam alvos.
Reconhecimento passivo
É o processo de coleta de dados a partir de informações disponíveis no domínio público, como sites de empresas, mídias sociais e grandes mídias, como jornais e revistas. Isso também é conhecido como inteligência de código aberto. Outras fontes de informações podem ser as redes sem fio da empresa. O reconhecimento passivo não inclui exploits e não é contra a lei.
O reconhecimento passivo não inclui a comunicação com os alvos. Também pode incluir coleta de dados de sistemas não-alvo.
Pivot
A técnica de usar um host comprometido para atacar outros sistemas na rede é conhecida como pivot. Os testadores de penetração podem obter informações sobre outros hosts na rede do sistema comprometido. Eles podem coletar dados e transferi-los para fora da rede do sistema explorado.
Exploração inicial
Na fase inicial de exploração, as vulnerabilidades que foram detectadas durante o reconhecimento ativo são colocadas à prova. O objetivo disso é avaliar até que ponto um invasor pode penetrar em um sistema, aplicativo ou rede e quais processos ou ativos críticos eles podem visar sem serem detectados.
O objetivo dessa fase é revelar a extensão do acesso que um invasor pode obter e o impacto que isso pode ter na empresa. Por exemplo, um testador de penetração provavelmente usará métodos empregados por hackers para explorar vulnerabilidades que foram detectadas. Se autorizados, eles terão acesso a todo o sistema e poderão instalar códigos adicionais como um hacker faria.
Normalmente, o escopo do teste será estabelecido no início. O teste de caneta só prosseguirá de acordo com as diretrizes definidas durante a definição do escopo. Por exemplo, uma empresa pode não permitir simulações de ataques de dia zero.
Essa fase também incluiria documentação de métodos de exploração, táticas e procedimentos empregados para obter acesso a alvos críticos. A documentação também incluiria os resultados das explorações.
Persistência
Às vezes, os invasores rondam a rede por semanas e meses sem que ninguém saiba. Ocasionalmente, um invasor pode até permanecer por um ano ou mais. Existem vários métodos que permitem que os invasores persistam em uma rede.
Os testadores de penetração usam métodos semelhantes para ver por quanto tempo eles podem persistir sem serem detectados. Os hackers usam a técnica de backdoor para oferecer suporte à persistência.
Escalada de privilégio
O objetivo do pen tester durante essa fase é avaliar se o aplicativo ou sistema de destino tem vulnerabilidades que permitem ao usuário escalar funções e privilégios. Se um usuário puder modificar esses privilégios, um invasor poderá lançar um ataque de escalonamento de privilégios.
Os testadores podem começar com acesso em nível de usuário e usar ferramentas e técnicas para testar se é possível para um usuário obter acesso a funções que não têm permissão para executar. Hackers éticos geralmente empregam táticasque os invasores costumam usar.
A extensão em que um testador de penetração pode ir depende do escopo do teste e da autorização que a organização forneceu para que ele comprometa o ambiente.
Caixa preta, caixa branca e caixa cinza
O teste de penetração pode ser classificado com base na extensão das informações do ambiente que os hackers éticos têm. Com base nessa classificação, os três tipos de teste são caixa preta, caixa branca e caixa cinza.
Nos testes de caixa preta, os pen testers não têm conhecimento do ambiente antes de iniciar o processo de teste. Essa é a mesma situação em que muitos invasores se encontram antes de lançar um ataque. Os testadores de caixa preta usam certas técnicas, incluindo fuzzing, para descobrir vulnerabilidades.
No teste de caixa branca, um hacker ético é totalmente informado sobre o ambiente antes do teste. As informações que um testador de caixa branca teria podem incluir o código-fonte, detalhes do aplicativo e da rede, além de detalhes de acesso à conta.
No teste de caixa cinza, os testadores têm algumas informações sobre a rede, hosts e aplicativos antes do teste.
Teste de penetração x varredura de vulnerabilidade
O teste inclui métodos invasivos ou intrusivos e não invasivos ou não intrusivos. Métodos invasivos podem interromper as operações de produção e resultar na indisponibilidade do sistema e dos dados.
No entanto, o teste não invasivo, como a varredura de vulnerabilidade, não comprometerá os hosts ou a rede e não interromperá as operações. O teste de penetração é intrusivo, enquanto a varredura de vulnerabilidade não é intrusiva.
Conforme discutido anteriormente, o teste de penetração inclui exploits, pode interromper as operações e até mesmo travar um sistema.
Conceitos de verificação de vulnerabilidade
 
O objetivo de uma varredura de vulnerabilidade é examinar sistemas, aplicativos e redes, e detectar fraquezas e problemas de segurança documentados que podem ser explorados por hackers. Os scanners de vulnerabilidade normalmente oferecem várias funções, como identificação de vulnerabilidades, identificação de configurações incorretas, teste passivo de controles de segurança e identificação de falta de controles de segurança.
Teste passivo dos controles de segurança
A verificação de vulnerabilidade é um processo de teste passivo. Uma varredura de vulnerabilidade apenas detecta pontos fracos, não os explora. Portanto, uma varredura de vulnerabilidade não interrompe as operações.
Identificar vulnerabilidade
Os verificadores de vulnerabilidade detectam vulnerabilidades conhecidas. Essas ferramentas usam um banco de dados de deficiências documentadas e reconhecem ameaças com base nesse banco de dados.
Existem vários padrões de vulnerabilidade, incluindo a lista Common Vulnerabilities and Exposures (CVE), da MITER Corporation, e o National Vulnerability Database (NVD), usado pelo Security Content Automation Protocol (SCAP). O CVE é apoiado pelo governo dos Estados Unidos.
Os scanners podem detectar vulnerabilidades, incluindo senhas fracas, portas abertas, padrões de tráfego incomuns relativos a dados confidenciais e senhas padrão. A maioria dos scanners tem um cracker de senha incorporado que pode identificar senhas fracas.
Componentes de rede, sistemas operacionais e aplicativos geralmente têm nomes de usuário e senhas padrão de fábrica ou fornecedor. Eles devem ser alterados no primeiro acesso porque os invasores podem explorar as credenciais padrão para obter acesso não autorizado a sistemas, aplicativos ou rede. Um scanner de vulnerabilidade pode identificar nomes de usuário e senhas padrão.
As portas abertas em um servidor podem torná-lo suscetível a ataques. Por exemplo, se a porta 23, que é usada pelo Telnet, for deixada aberta, um invasor pode usá-la para acessar o servidor. Os scanners de vulnerabilidade são capazes de detectar portas abertas.
Alguns scanners de vulnerabilidade também usam métodos de Prevenção de Perda de Dados (ou Data Loss Prevention – DLP) para identificar padrões de tráfego relacionados a informações proprietárias ou outras informações confidenciais.
Identifique a falta de controles de segurança
Os scanners de vulnerabilidade são projetados para detectar se os controles de segurança necessários estão faltando. Por exemplo, um scanner pode identificar se um sistema está protegido por um software antivírus ou se os patches mais recentes foram instalados.
Identifique configurações incorretas comuns
Os invasores também exploram configurações incorretas. Alguns scanners de vulnerabilidade são capazes de identificar configurações incorretas que geralmente ocorrem. Um scanner pode comparar a configuração existente do sistema com as linhas de base de segurança e configuração para identificar se quaisquer alterações incorretas ou não autorizadas foram feitas.
Intrusivo x não intrusivo
Uma varredura de vulnerabilidade não é intrusiva; ela não explora vulnerabilidades. O teste de penetração é intrusivo porque inclui interação com alvos.
Credenciado x não credenciado
Os scanners de vulnerabilidade podem executar varreduras credenciadas e não credenciadas. Uma varredura credenciada é executada usando as credenciais da conta, enquanto uma varredura não credenciada é executada sem as credenciais do usuário. Os invasores examinam os sistemas para detectar fraquezas que podem explorar. Essas varreduras geralmente não são credenciadas porque os invasores normalmente não têm acesso às credenciais do usuário de hosts em uma rede interna.
Uma varredura credenciada executada com credenciais de administrador pode sondar mais a fundo, realizar uma varredura completa e identificar problemas de segurança profundamente enraizados. Portanto, as varreduras credenciadas são mais abrangentes, geram poucos falsos positivos e produzem resultados mais precisos.
Embora os invasores inicialmente não tenham acesso às credenciais do usuário e executem varreduras não credenciadas para começar, diferentes técnicas são empregadas para obter permissões mais altas e podem executar uma varredura credenciada em uma rede se conseguirem obter acesso de administrador não autorizado.
Os profissionais de segurança e os administradores também executam varreduras não credenciadas para estarem cientes do que os invasores podem ver quando executam uma varredura não credenciada.
Falso positivo
Nesse contexto, um falso positivo é semelhante a um falso alarme. Refere-se à identificação de uma vulnerabilidade quando essa vulnerabilidade não existe no sistema, rede ou aplicativo. Às vezes, os scanners de vulnerabilidade podem gerar tais relatórios falsos.
Outras ferramentas, como aplicativos antivírus e Sistemas de Detecção de Intrusão (em inglês, Intrusion Detection System – IDS), também geram falsos positivos ocasionalmente.
O problema com os falsos positivos é que os administradores de TI ou profissionais de segurança precisam gastar tempo investigando vulnerabilidades que realmente não existem.
Qual dos seguintes tipos de malware tem a capacidade de alterar seu próprio código para evitar a detecção por um software antivírus?
Select one:
Trojan
Vírus polimórfico
Crypto-malware
Worm
Doxing é um exemplo de qual dos seguintes tipos de malware?
Select one:
Worm
Vírus
Ransomware
Trojan
Quais protocolos são vulneráveis a um ataque dehash?
Select one or more:
NTLM
HTML
hcitool
LM
Qual dos seguintes ataques de phishing é feito por meio de telefones?
Select one:
Tailgating
Spear phishing
Vishing
Whaling
Quantos bits são usados pelo MD5 em seu algoritmo de hashing?
Select one:
120
228
128
512
2 questionario 
Quando um invasor verifica o sistema da vítima para detectar fraquezas, ele pode usar que tipo de verificação?
Select one:
Intrusiva
Credencial
Não credencial 
Verdadeiro. Os invasores realizam varreduras sem credencial para detectar fraquezas do sistema a serem exploradas.
Não intrusiva
Em que tipo de teste de penetração os pen testers possuem algumas informações sobre a rede antes do teste?
Select one:
Black-box
Gray-box 
Verdadeiro. No teste gray-box, os pen testertêm algumas informações sobre a rede antes do teste.
White-box
Blue-box
Um ataque de desreferenciação de ponteiro é visto principalmente em um aplicativo programado por qual das seguintes linguagens?
Select one or more:
PHP
Java 
Falso. Não existe ponteiro em Java.
C++
C
Quando vários aplicativos ou módulos de um app tentam acessar o mesmo recurso simultaneamente, que tipo de vulnerabilidade ocorre?
Select one:
Improper Input Handling
Improper Error Handling
Race conditions 
Verdadeiro. Race conditions se referem a um conflito que pode acontecer quando vários aplicativos ou módulos de um aplicativo tentam acessar o mesmo recurso simultaneamente.
Resource Exhaustion