Pentesting e Software de Código Malicioso_Ebook completo_SER e Digital Pages (Versão Digital)

Prévia do material em texto

G
RU
PO
 SER ED
U
CACIO
N
AL
PENTESTING E 
SOFTWARE DE CÓDIGO
MALICIOSO
PEN
TESTIN
G
 E SO
FTW
AR
E D
E CÓ
D
IG
O
 M
ALICIO
SO
Autores: Luciano dos Santos Viana;
 Edinilson da Silva Vida.
Organizadora: Aline Ferreira Barbosa.
Autores: Luciano dos Santos Viana;
Edinilson da Silva Vida.
Organizadora: Aline Ferreira Barbosa.
PENTESTING E 
SOFTWARE DE CÓDIGO 
MALICIOSO
Capa para impressão_2022 1,3Capa para impressão_2022 1,3 26/09/2022 10:18:2526/09/2022 10:18:25
Pentesting e 
software de código 
malicioso
© by Ser Educacional
Todos os direitos reservados. Nenhuma parte desta publicação poderá ser 
reproduzida ou transmitida de qualquer modo ou por qualquer outro meio, 
eletrônico ou mecânico, incluindo fotocópia, gravação ou qualquer outro 
tipo de sistema de armazenamento e transmissão de informação, sem prévia 
autorização, por escrito, do Grupo Ser Educacional.
Imagens e Ícones: ©Shutterstock, ©Freepik, ©Unsplash.
Diretor de EAD: Enzo Moreira.
Gerente de design instrucional: Paulo Kazuo Kato.
Coordenadora de projetos EAD: Jennifer dos Santos Sousa.
Equipe de Designers Instrucionais: Gabriela Falcão; José Carlos Mello; Lara 
Salviano; Leide Rúbia; Márcia Gouveia; Mariana Fernandes; Mônica Oliveira 
e Talita Bruto.
Equipe de Revisores: Camila Taís da Silva; Isis de Paula Oliveira; José Felipe 
Soares; Nomager Fabiolo Nunes.
Equipe de Designers gráficos: Bruna Helena Ferreira; Danielle Almeida; 
Jonas Fragoso; Lucas Amaral, Sabrina Guimarães, Sérgio Ramos e Rafael 
Carvalho.
Ilustrador: João Henrique Martins.
Viana, Luciano dos Santos; Vida, Edinilson da Silva. 
Organizadora: Barbosa, Aline Ferreira. 
Pentesting e Software de Código Malicioso: 
Recife: Grupo Ser Educacional - 2022.
155 p.: pdf
ISBN:978-65-81507-91-6
1. segurança 2. pentest 3. malware.
Grupo Ser Educacional
Rua Treze de Maio, 254 - Santo Amaro
CEP: 50100-160, Recife - PE
PABX: (81) 3413-4611
E-mail: sereducacional@sereducacional.com
Iconografia
Estes ícones irão aparecer ao longo de sua leitura:
ACESSE
Links que 
complementam o 
contéudo.
OBJETIVO
Descrição do conteúdo 
abordado.
IMPORTANTE
Informações importantes 
que merecem atenção.
OBSERVAÇÃO
Nota sobre uma 
informação.
PALAVRAS DO 
PROFESSOR/AUTOR
Nota pessoal e particular 
do autor.
PODCAST
Recomendação de 
podcasts.
REFLITA
Convite a reflexão sobre 
um determinado texto.
RESUMINDO
Um resumo sobre o que 
foi visto no conteúdo.
SAIBA MAIS
Informações extras sobre 
o conteúdo.
SINTETIZANDO
Uma síntese sobre o 
conteúdo estudado.
VOCÊ SABIA?
Informações 
complementares.
ASSISTA
Recomendação de vídeos 
e videoaulas.
ATENÇÃO
Informações importantes 
que merecem maior 
atenção.
CURIOSIDADES
Informações 
interessantes e 
relevantes.
CONTEXTUALIZANDO
Contextualização sobre o 
tema abordado.
DEFINIÇÃO
Definição sobre o tema 
abordado.
DICA
Dicas interessantes sobre 
o tema abordado.
EXEMPLIFICANDO
Exemplos e explicações 
para melhor absorção do 
tema.
EXEMPLO
Exemplos sobre o tema 
abordado.
FIQUE DE OLHO
Informações que 
merecem relevância.
SUMÁRIO
UNIDADE 1
Conceitos básicos sobre segurança da informação � � � � � � � � � � � � � � 13
Dimensões de um sistema de informação � � � � � � � � � � � � � � � � � � � � � � � � � �14
Vulnerabilidade, ameaça e risco à segurança da informação � � � � � � � � �15
Visão geral sobre testes de invasão � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 21
Black Box � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 23
Gray Box � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 24
White Box � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 24
Hacking Ético � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 25
Conhecimentos de um hacker � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 26
DDoS � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 32
Man-in-the-middle � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 32
Sniffer � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � �33
Phishing � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 34
Crimes cibernéticos � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 35
Incidentes de segurança � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 37
UNIDADE 2
Tipos de pentest � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � �45
Black Box � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 46
White Box � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 46
Gray Box � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 47
Fases do ataque � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 49
Reconhecimento � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 49
Enumeração � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 52
Escaneamento � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 52
Análise de vulnerabilidade � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 55
Exploração � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 57
Pós-exploração � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 60
Apagando rastros � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 62
Relatório � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 62
Softwares utilizados em um teste de invasão � � � � � � � � � � � � � � � � � � � � 63
Nmap � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 63
Maltego � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 65
theHarvester � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 67
Metasploit � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 68
Burp Suite � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 69
BeEF � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � �71
Nikto � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 72
DNS Enum � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 73
GoLismero � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 74
Cain e Abel � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 75
Sparta � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 76
Wireshark � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 76
P0f � � � � � � � � � � � � � � � � � � � � � � �� � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 77
WPScan � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 79
John the Ripper � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 79
UNIDADE 3
Ataques de programas maliciosos � � � � � � � � � � � � � � � � � � � � � � � � � � � � � �85
Ataques passivos � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 87
Ataques ativos � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 88
Ameaças da internet � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 89
Firewall e controle de acesso � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 92
Vírus de computador � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 94
Vermes de computador (worms) � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 99
Cavalo de Troia (trojan horse) � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 104
Bombas lógicas � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 106
Outros tipos de programas maliciosos � � � � � � � � � � � � � � � � � � � � � � � � �108
Entradas clandestinas (backdoors) � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 109
Botnets � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � �110
Rootkit � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 111
Spyware � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 112
UNIDADE 4
Medidas Preventivas de Segurança Contra Softwares de Código 
Malicioso � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 117
Firewall � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 124
Redes privadas virtuais � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 128
Proxy � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 130
AntiSpam � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 131
Backup e redundância de dados � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 132
Sigilo � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 136
Autenticação � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � �137
Navegação privada � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 140
Ferramentas e técnicas de auditoria de tecnologia de informação � 140
Apresentação
Olá, aluno(a)!
Sabemos que, diariamente, aparecem novas falhas e vulnerabilida-
des em diversos sistemas, serviços ou até mesmo sistemas opera-
cionais – nada é completamente seguro. Estamos em um mundo de 
internet das coisas, em que tudo é interligado, todos os dispositivos 
conversam entre si, cada um com um firmware ou sistema opera-
cional diferente e cada um com sua vulnerabilidade – como disse, e 
repito mais uma vez, nada é completamente seguro.
O Pentesting vem com o intuito de apresentar para as empre-
sas tais vulnerabilidades – afinal, normalmente, elas não têm o co-
nhecimento da existência dessas falhas em sua infraestrutura. Além 
disso, diversas formas de ameaças tornam um sistema vulnerável, 
ou seja, a presença de software de código malicioso influencia nos 
aspectos de segurança de sistemas.
O objetivo deste material é preparar você para entender o que 
é um teste de invasão e suas etapas, assim como quais possibilidades 
de códigos maliciosos podem surgir nos sistemas computacionais. 
Na prática, é um desafio diário, contando cada dia uma novidade ou 
uma vulnerabilidade diferente, passiva de ser explorada. Sendo as-
sim, convidamos você a descobrir um pouco mais sobre esse mundo 
de desafios e a adquirir ainda mais conhecimento sobre Pentesting e 
Código de Software Malicioso.
Autoria
Luciano dos Santos Viana 
É especialista em Segurança da Informação, Pentester e Forensic In-
vestigator. Graduado em Sistemas de Informação pela Faculdade 
Anhanguera de Belo Horizonte (2012 - 2016).
Edinilson da Silva Vida 
Éespecialista em Planejamento, Implementação e Gestão da Educa-
ção à Distância pela Universidade Federal Fluminense – UFF (2019) 
e em Engenharia de Software pelo Centro Universitário de Patos de 
Minas – UNIPAM (2013). É graduado em Sistemas de Informação 
também pelo UNIPAM (2010).
Atua na área de TI há mais de 10 anos, com destaque para o suporte 
a sistemas e infraestrutura de TI, segurança da informação, manu-
tenção e desenvolvimento de websites e aplicativos para disposi-
tivos móveis, análise e especificação de requisitos, modelagem de 
dados e de diagramas UML e contagem de pontos de função.
Além disso, ele também atua como professor, tutor e conteudista de 
cursos de graduação e pós-graduação em diversas instituições de 
ensino superior, nas modalidades presencial e educação a distância.
Curriculo Lattes
Curriculo Lattes
Organizadora
Aline Ferreira Barbosa 
É Doutoranda em Engenharia da Computação pela Universidade de 
Pernambuco (2019-2023), Mestre em Engenharia da Computação 
pela Universidade de Pernambuco (2019) e Graduada em Licencia-
tura em Computação pela Universidade de Pernambuco (2014).
Atuou como Diretora Presidente na empresa TEC Jr (Tecnologia, 
Educação e Consultoria Júnior) - empresa júnior do curso de Licen-
ciatura em Computação vinculada a Universidade de Pernambuco. 
Tem artigos científicos em eventos brasileiros importantes na sua 
área de pesquisa, tais como SBGames, WIE, WEI, SQBS, WER.
Possui experiência em lecionar diferentes disciplinas na área de 
computação, tais como: Programação, Segurança em Redes de 
Computadores, Engenharia de Requisito, Engenharia de Software e 
Gestão de Projetos de Software.
Curriculo Lattes
UN
ID
AD
E
1
Pentesting e 
Software de Código 
Malicioso
Objetivos
1. Apresentar os conceitos básicos de segurança da informação.
2. Introduzir os tipos e processos de teste de invasão.
3. Introduzir conceitos sobre crimes cibernéticos.
12
Introdução
Olá, caro(a) aluno(a)!
Sabemos que a demanda de informações cresce a cada dia, a exem-
plo das empresas que necessitam adotar sistemas de informações, 
seja para auxiliar a gerência dos negócios, seja para o assessora-
mento durante a tomada de decisões. Isso confirma o fato de que a 
informação armazenada é um dos ativos fundamentais para qual-
quer empresa. Por conseguinte, o que gera um fator decisivo para o 
êxito de qualquer negócio é o desenvolvimento de um conjunto de 
práticas em relação à proteção e à correta administração dos siste-
mas que armazenam essas informações. 
Nesse sentido, podemos ver que a implementação de um con-
junto adequado de estratégias de segurança pode contribuir para 
evitar maiores impactos e danos às organizações ou até mesmo para 
a garantia de proteção de dados pessoais. Especificamente, o pro-
fissional desta área, o qual deve conhecer os conceitos de segurança 
digital e os mecanismos técnicos e de gerenciamento para proteção 
da informação.
Um programa de segurança pode ter diversos objetivos, mas 
os princípios mais importantes em todos eles são a confiabilidade, 
a integridade e a disponibilidade. Sendo assim, abordaremos, neste 
material, esses conceitos básicos e seus significados para um sis-
tema de informação, como eles são providos por diferentes meca-
nismos e como a ausência de estratégias de segurança pode afetar 
negativamente um ambiente. Porfim, iniciaremos uma explanação 
sobre as fases a serem consideradas em um teste de invasão.
Preparado(a) para iniciar esta jornada de estudos? Vamos lá!
13
Conceitos básicos sobre segurança da 
informação 
Com a popularização da internet, o volume dos dados aumentou 
exponencialmente, necessitando cada vez mais de técnicas de dife-
rentes tipos para o cuidado e a proteção dos fluxos e meios de arma-
zenamento e acesso à informação.
Segundo o autor Armando Kolbe Júnior, no livro Sistemas de 
segurança da informação na era do conhecimento (2017, p. 46), “as 
informações, além de darem suporte à tomada de decisões, atuam 
como um importante fator de motivação das equipes”. Diante dos 
benefícios que a informação rápida, correta e disponível pode pro-
porcionar às organizações, é clara a necessidade de garantir que es-
tas estejam protegidas.
A computação e a internet foram precursoras deste alto cres-
cimento em menos de 40 anos. A arquitetura de aplicativos mudou 
de um cenário centralizado, com informações locais, para aplica-
ções acessadas diretamente pelos navegadores, armazenados em 
servidores com alto poder de processamento e disponibilidade.
O aumento de armazenamento e integração de informações 
de diferentes fontes tem sido o desafio e o objeto de estudo dos pro-
fissionais da área. A proteção da informação para um indivíduo ou 
uma organização exige estratégia, ferramentas e técnicas de con-
trole de forma confiável, consistente e eficaz.
Sendo assim, podemos dizer que a informação é o conjunto 
de dados que agrega valor para um indivíduo ou uma organização, 
com capacidade de armazenamento ou transferência, podendo ser 
utilizada pelo usuário para um objetivo específico.
Já a segurança da informação trata de medidas que garan-
tem a proteção efetiva, as quais devem estar claramente descritas 
na política global da organização, delineando as responsabilida-
des de cada grau da hierarquia e o grau de delegação de autoridade. 
Segurança da informação, afinal, objetiva proteger os dados, com 
a finalidade de preservar os valores para uma organização ou um 
indivíduo.
14
Dimensões de um sistema de informação
As dimensões de um sistema de informação estão relacionadas ao 
desenvolvimento de ações, para garantir confidencialidade, inte-
gridade e disponibilidade, no intuito de assegurar a proteção das 
informações.
Vamos detalhar melhor esses conceitos, que são os alicerces da se-
gurança da informação, segundo Adriana Beal no livro Segurança 
da informação: princípios e melhores práticas para a proteção dos 
ativos de informação nas organizações, de 2008 (p. 17):
A confidencialidade garante que somente pessoas autorizadas pos-
sam acessar as informações.
A integridade baseia-se em garantir que a informação não será al-
terada após o seu armazenamento.
E a disponibilidade garante que as informações estarão sempre dis-
poníveis para as pessoas que possuem autorização de acesso a elas.
Os sistemas de informação estão estruturados em três di-
mensões: pessoas, tecnologia e organização. Veja no quadro 1, a 
seguir, a definição desses elementos.
Quadro 1 - Dimensões de um sistema de informação
Fonte: KOLBE JUNIOR, 2017, p. 46 (adaptado).
É notório que a segurança da informação depende bastante 
da tecnologia para existir, mas devemos lembrar que esse é um pro-
DEFINIÇÃO
15
cesso que não envolve somente equipamentos. Afinal, as máquinas 
precisam ser comandadas por pessoas e, além disso, todas as ações 
e operações são executadas por indivíduos. Ainda assim, alguns au-
tores concordam que as pessoas são o “elo frágil” da segurança da 
informação, como é o caso de Adriana Beal (2008, p. 71) e Michele da 
Costa Galvão (2015, p. 99).
Será que podemos concordar com esta afirmação? Bom, não 
é difícil conhecer alguém que, ao instalar algum programa no com-
putador, acabou deixando-o infectado com algum vírus, ou que caiu 
em algum golpe e passou informações pessoais, como senhas, por 
telefone. Enfim, a verdade é que, quando analisamos falhas de se-
gurança em ambientes com alta tecnologia, a falha humana nor-
malmente está envolvida. Portanto, podemos afirmar que a segu-
rança da informação deve se aplicar a todo ativo da organização.
O conceito de ativo, segundo Michele da Costa Galvão (2015), com-
preende qualquer parte que compõe a estrutura da organização ou 
que possui valor para ela, ou seja, qualquer componente, tecnológi-
co ou humano, que auxilia em um ou mais procedimentos de negó-
cio de uma organização.
Assim, um ativo de informação constitui-se pela informação e to-
das as coisas e seres que o auxiliam.
Vulnerabilidade, ameaça e risco à segurança da 
informação
Existem diversas vulnerabilidades ou pontos fracos de um ativo de 
informação que podem prejudicar ou dificultar, intencionalmen-
te ou não, a disponibilidade, a confidencialidade ou a integridade, 
como as falhas no projeto, na implementação ou na configuração de 
determinado software ou do sistema operacional, causando ameaças 
DEFINIÇÃO
16
à segurança.
Para dar continuidade, precisamos definir alguns conceitos 
mais detalhadamente. As ameaças são um ataque potencial a um 
ativo da informação, isto é, um agente externo que, aproveitando 
a vulnerabilidade, poderá quebrar um ou mais aspectos básicos da 
segurança da informação. O risco, por sua vez, denota as prováveis 
perdas, que têm possibilidade de decorrer desse contexto.
Veja a seguir uma breve explicação sobre estes termos.
Quadro 2 - Vulnerabilidade, ameaça e risco
VULNERABILIDADE AMEAÇA RISCO
Pontos fracos de um 
sistema, que podem 
servir de abertura 
pela qual um 
elemento externo 
acessa um ativo.
O elemento externo 
propriamente 
dito, que explora 
as oportunidades 
oferecidas pela 
vulnerabilidade e, 
de modo intencional 
ou não, danifica ou 
prejudica o ativo.
Perdas e danos 
potenciais, 
resultantes da 
interação da 
ameaça com a 
vulnerabilidade e, 
consequentemente, 
com o ativo.
Fonte: o autor (2019).
De acordo com Adriana Beal a ameaça pode ser definida como 
“um acontecimento acidental ou proposital causado por um agen-
te, que pode afetar um ambiente, sistema ou ativo de informação” 
(2008, p. 14). Sendo assim, podemos pensar em ameaças de duas 
maneiras:
 • ameaças acidentais – nesse tipo, poderíamos incluir as falhas 
de hardware, desastres naturais, erros de programação;
 • ameaças propositais – podem ser entendidas por roubos, in-
vasões, fraudes etc.
As vulnerabilidades são pontos nos quais o sistema está sus-
ceptível a ataques. Nesse contexto, podemos incluir as fragilidades 
e erros que o sistema possui. Quando nos referimos a sistema, pode 
17
ser um erro no procedimento aplicado e até mesmo a configuração 
incorreta dos aplicativos de segurança, de maneira proposital ou 
não, gerando como resultado uma informação não confiável.
Segundo o autor Maurício Rocha Lyra (2008), essas vulne-
rabilidades poderão ser exploradas ou não, sendo possível que um 
ativo da informação apresente um ponto fraco, que nunca será efe-
tivamente explorado.
Alguns tipos de vulnerabilidades conhecidas, atualmente, 
são: físicas (a falta de recursos para lidar com possíveis incêndios 
no local, por exemplo); relacionadas a hardware ou software (erros 
durante a instalação); mídias (perda ou danificação de materiais); 
ou ainda humanas (compartilhamento de informações confiden-
ciais, falta de treinamento, erros, roubo, vandalismo etc.).
A todo o momento, o sistema de informação está sujeito a ris-
cos, já que o tempo todo nos deparamos com novas vulnerabilidades 
e ameaças. A análise dos riscos é uma importante maneira de reali-
zar o levantamento dessas ameaças, vulnerabilidades e impactos a 
que os ativos de informação estão sujeitos.
A melhor forma de minimizar os riscos é cercar o ambiente 
de informação, elaborando e seguindo políticas de segurança. De-
vemos lembrar que conseguir segurança absoluta é praticamente 
impossível, e que o investimento em segurança de informação tem 
um alto custo.
Hoje, mais do quenunca, o sistema de informação está co-
nectado a redes de telecomunicações, o que faz com que os sistemas 
de informação em diferentes lugares estejam interconectados. Por 
conseguinte, o risco de acesso não autorizado aumenta, ocorrendo 
abuso e/ou fraude em qualquer ponto de acesso.
O ataque nada mais é do que o acesso ou uso não autorizado 
de um computador ou programa. É um evento decorrente da explo-
ração de uma vulnerabilidade por uma ameaça, segundo Adriana 
Beal (2008). Há ataques que não interferem no conteúdo do recurso 
que foi atingido, o que denominamos ataque passivo – por exemplo, 
quando o ataque foi realizado apenas para a observação e conhe-
cimento de informações. Contudo, quando esse ataque prejudica o 
18
conteúdo e modifica, elimina ou gera informações falsas, ele é cha-
mado de ataque ativo.
Vamos tomar como exemplo o assunto das senhas. Quanto 
mais complicadas forem, mais difícil será a descoberta delas. Entre-
tanto, se o responsável cria uma única senha para todos os sistemas, 
visando a facilitar a memorização, gera também uma vulnerabili-
dade, que pode afetar todos os sistemas envolvidos. De tal modo, 
anotar a senha complexa em um papel faz com que a vulnerabili-
dade continue existindo, já que outras pessoas podem ter acesso a 
esse papel.
Durante o ciclo de vida da informação, ela pode passar por al-
gumas situações de risco e até mesmo ameaças. O não cumprimento 
de determinados objetivos de segurança pode levar a sérias conse-
quências para a organização. Demonstramos algumas relações en-
tre objetivos de segurança e as respectivas consequências. Veja esta 
relação de causa/efeito no quadro a seguir.
Quadro 3 - Objetivos de segurança da informação
OBJETIVO DE SEGURANÇA CAUSA E CONSEQUÊNCIA
Perda de confiabilidade
Causa: divulgação das informa-
ções de forma não autorizada.
Consequências: comprometi-
mento da credibilidade, emba-
raço ou ação legal contra a or-
ganização.
19
Perda de integridade
Causa: modificações não auto-
rizadas feitas de forma aciden-
tal ou intencional. Além disso, 
a violação da integridade pode 
ser o primeiro passo para um 
ataque com sucesso à disponi-
bilidade ou confidencialidade 
da informação.
Consequências: imprecisão das 
informações; fraude; tomada de 
decisão errada; reduz a garantia 
da informação.
Perda de disponibilidade
Causa: se as informações não 
estiverem disponíveis para o 
usuário, a missão da organiza-
ção pode ser afetada.
Consequências: perda de pro-
dutividade por parte dos usuá-
rios; impedir que os usuários 
executem suas atividades nor-
malmente.
Fonte: STONEBURNER; GOGUEN; FERINGA, 2004, p. 25. (Adaptado).
Identificar os riscos é importante para saber quais ameaças 
e/ou vulnerabilidades podem ser aplicadas nos sistemas de infor-
mação envolvidos, e o impacto que as perdas de confidencialidade, 
integridade e disponibilidade podem causar aos ativos.
A resposta à prática da engenharia social nas empresas é o 
profissionalismo. De acordo com Edison Fontes (2006), quando te-
mos consciência do valor da informação, temos o dever de protegê-
-la adequadamente e agir conforme os procedimentos de seguran-
ça. Por outro lado, também é uma obrigação da empresa preparar, 
por meio de reuniões, conferências e diferentes capacitações, para 
que seus funcionários se protejam dessa prática que, cada vez mais, 
20
conta com pessoas especializadas.
A engenharia social é uma das estratégias mais utilizadas por inva-
sores, pois independe de tecnologias ou mecanismos computacio-
nais avançados. A engenharia social é um conjunto de procedimen-
tos e ações utilizados para adquirir informações de uma organização 
ou de uma pessoa por meio de contatos falsos sem o uso da força, do 
arrombamento físico ou de qualquer brutalidade, como afirma Edi-
son Fontes no livro Segurança da informação: o usuário faz a diferença, 
de 2006.
Os engenheiros sociais exploram a ingenuidade ou a ignorân-
cia de usuários para obter informações confidenciais, como senhas, 
informações pessoais, tipos de equipamento de segurança utiliza-
dos ou outros dados que podem comprometer a segurança da orga-
nização.
Edison Fontes (2006, p. 120) exemplifica a forma como os 
engenheiros sociais agem e buscam informações da organização 
usando as pessoas. Veja a seguir alguns comportamentos identifi-
cáveis dos engenheiros sociais.
 • Falam com conhecimento: nesses casos, o invasor demonstra 
conhecimento sobre informações da empresa ou de atividades 
dela para tentar enganar e coletar informações sigilosas.
 • Adquirem a confiança do interlocutor: em alguns casos, o in-
vasor contata a vítima várias vezes, tentando se aproximar e 
adquirir intimidade para, em seguida, coletar as informações 
que busca.
 • Prestam favores: nesses casos, o invasor, quando pretende 
algo, mostra-se prestativo em situações de dificuldade da ví-
tima ou simula alguma dificuldade para oferecer ajuda. Nessa 
forma de ameaça, é muito comum o uso do telefone e, nessas 
CURIOSIDADE
21
situações, uma forma de prevenção é confirmar o interlocutor 
ou evitar repassar informações sem ter a certeza com quem se 
está falando.
Visão geral sobre testes de invasão
Sabemos que a tecnologia vem avançando diariamente: carros au-
tônomos, IoT, smartphones, dentre outros, e juntamente à evolu-
ção da tecnologia vêm as falhas e as vulnerabilidades.
Não é segredo nenhum que sistemas são passíveis a falhas. 
Diariamente vemos zero-days e novas CVEs sobre falhas encontra-
das; nada está completamente seguro, mas as organizações não 
sabem disso ou simplesmente não buscam conhecer o quão falhas 
suas redes e sistemas estão quanto à segurança da informação.
Zero-days são vulnerabilidades recém encontradas por crimi-
nosos virtuais e que são exploradas antes mesmo que os antivírus 
ou fabricantes de softwares possam ter conhecimento e desenvolver 
alguma correção para a respectiva vulnerabilidade.
CVE ou Common Vulnerabilities and Exposures é uma base de 
dados de vulnerabilidades contendo seu respectivo número de iden-
tificação, descrição e referência pública para essas vulnerabilidades 
de segurança da informação, deixando-as publicamente conheci-
das. As entradas CVE são usadas em várias ferramentas e serviços de 
segurança cibernética de todo o mundo.
Recursos mal configurados, usuários com permissões des-
necessárias, senhas fracas, falta de atualização de softwares e redes 
desprotegidas são as principais portas de entrada que permitem que 
atacantes capturem dados sigilosos e importantes. Além de tudo, 
ainda existe o fator humano. Todo ser humano é passível a falhas, 
a confiar demais ou a ser facilmente enganado por criminosos, que 
conseguem ganhar vantagem em cima de tais falhas, utilizando-se 
ou não da engenharia social.
Para muitas empresas, o simples fato de ter um antivírus ou 
um firewall é motivo de segurança, mas, às vezes, a segurança de 
tais corporações é somente um sentimento, enquanto na prática são 
facilmente reconhecidas como alvo.
22
Diariamente vemos notícias de roubos de dados, ataques e 
mais ataques de várias formas em endpoints e servidores, onde cri-
minosos conseguem roubar tudo, ou então deixar endpoints e ser-
vidores ilegíveis a fim de exigir resgate pelos dados (desde arqui-
vos pessoais, senhas e informações financeiras até bancos de dados 
completos). Não importa o quanto a equipe de segurança da infor-
mação se empenhe para combater tais incidentes, eles ainda acon-
tecem diariamente.
Tendo isso como base, trazemos neste material uma visão 
geral de um teste de invasão, como funciona e o objetivo.
O teste de invasão é um serviço legalizado, extremamente 
necessário para empresas que precisam proteger dados críticos, e 
se utiliza de uma série de operações automatizadas e manuais, além 
de, geralmente, ter como alvo servidores, endpoints de rede, redes 
wireless, dispositivos móveis, webservices, bem como outras áreas de 
exposição como aplicações e códigos.
Michele Galvão (2015, p. 20) conceitua como hacker qualquerpes-
soa capaz de acessar, criar ou modificar sistemas, a fim de inserir 
novas funções ou alterar antigas. Mas, na literatura, o termo denota 
um programador habilidoso que usa da sua desenvoltura para pro-
teger e ampliar as barreiras de proteção da segurança da informação 
nas organizações.
Para tanto, pode-se fazer uma reflexão sobre a pessoa hu-
mana capaz de executar e desenvolver os códigos maliciosos, pois 
a máquina precisa ser comandada. Nessa linha, essa pessoa é cha-
mada de cracker, termo usado para designar o indivíduo que pratica 
a quebra de um sistema de segurança de forma ilegal ou sem ética.
Veja no quadro 4 algumas diferenças entre hacker e cracker.
DEFINIÇÃO
23
Quadro 4 - Hacker e cracker
HACKER CRACKER
Especialista em computação 
que lança mão de seu 
conhecimento técnico para 
resolver problemas.
Pessoa que, ilegalmente, 
acessa o computador ou a 
rede de outra pessoa ou de 
uma organização. Seu objetivo 
é violar a segurança do 
computador.
Não prejudica os dados 
intencionalmente.
Prejudica os dados 
intencionalmente.
Fonte: o autor (2019).
O teste de invasão é responsável pela detecção minuciosa por 
meio de técnicas de hackers éticos contratados para realizá-la sem 
o intuito de prejudicar a empresa ou praticar roubo de informações. 
O hacker ético é o profissional legalmente responsável pela execução 
dos testes de invasão. Tem como objetivo analisar minuciosamente 
a segurança de uma corporação ou determinado sistema, buscando 
falhas e vulnerabilidades com o intuito de explorá-las e apresentá-
-las como forma de relatório aos gestores para que possam corrigi-
-las mais rapidamente.
As falhas encontradas podem ser desde um sistema opera-
cional desatualizado até uma grande falha em um banco de dados. 
Existem três tipos de teste de invasão, os quais veremos a seguir.
Black Box
O Black Box é o mais completo e difícil. Nesse teste, o atacante con-
tratado não tem informação nenhuma da corporação que vai atacar, 
seja interna ou externamente.
Vemos que, em ataques reais, o hacker não possui todas as 
informações referentes à infraestrutura do alvo. Por isso, ele vai 
utilizar uma série de medidas diferentes para encontrar as fraque-
zas e vulnerabilidades, explorá-las e conseguir acesso aos dados e 
informações. Ou seja, nesse tipo de serviço nenhuma informação 
24
é passada sobre procedimentos internos, dados de rede, usuários 
ou senhas e, como resultado, leva mais tempo para ser executado e 
mais custo, uma vez que exige mais esforço do atacante. O benefício 
é que a empresa adquire uma visão mais próxima possível de como 
um verdadeiro criminoso enxerga a empresa e quais falhas ele pode 
efetivamente se aproveitar e explorar.
O Black Box é indicado para empresas que possuem uma segu-
rança madura, uma equipe de segurança da informação preparada 
e capacitada para agir em caso de um incidente desse grau. Isto é, 
bem consolidada, com processos, equipe e tecnologias em sintonia. 
Esse tipo de teste auxilia na identificação de fraquezas e vulnerabi-
lidades, que ainda existem na rede, complementando a segurança 
e, de fato, colocando-a à prova para melhoria contínua da gestão e 
dos processos.
Gray Box
O teste Gray Box é uma combinação do Black Box com o White Box. 
Nesse teste, o atacante tem um conhecimento limitado da infraes-
trutura interna ou externa do cliente, seja apenas um host, IP ou um 
serviço que roda ali dentro. Esse tipo de teste pode reduzir o tempo 
do atacante e até mesmo o custo do processo.
O Gray Box pode ser bastante útil quando a corporação deseja 
ter um conhecimento real de como um atacante visualiza determi-
nadas partes da infraestrutura.
White Box
No teste White Box, o atacante possui todas as informações referentes 
ao alvo, seja internamente ou externamente. Esse teste é indicado 
para empresas que estão em processo de conclusão de infraestrutu-
ra de segurança da informação, visto que falhas e vulnerabilidades 
são mais bem identificadas para que as correções possam ser ainda 
mais rápidas e, ao concluir, a infraestrutura esteja mais segura com 
suas soluções atualizadas e suas falhas corrigidas.
25
O White Box é um teste mais rápido e de menor agressividade, 
demanda menos tempo e pode sair mais barato para as corporações. 
Esse serviço pode ser comparado com a análise de vulnerabilidade, 
porém de uma forma mais completa.
Além dos tipos de testes, existem, ainda, as fases de um teste 
de invasão, que você conhecerá em outra oportunidade de estudos.
Hacking Ético
Quando falamos em hacking ético, frisamos no ético. Ser ético é 
quando algo segue um padrão específico, politicamente correto, 
ou seja, segue regras rigidamente. Tudo que o hacker ético faz está 
dentro desse conjunto de regras e, como tudo em nossa vida existe 
ética, no hacking não é diferente. No entanto, quando mencionamos 
a palavra “hacker”, ainda não se tem uma boa visão. Existem dois 
tipos de hackers: os black hat, que são os responsáveis por roubar 
dados, tirar serviços do ar, levar vantagens em cima de tudo, além 
de buscar novas falhas para cada vez prejudicar mais pessoas; e os 
white hat, que são os éticos, responsáveis por fazer uma análise de 
vulnerabilidade, teste de invasão e cuidar da proteção de uma em-
presa.
Como forma de observação, deixamos aqui explicado que os termos 
coloristas black e white, apesar de mundialmente reconhecidos, res-
pectivamente, para distinguir uma atitude não ética de uma atitude 
ética, não devem ser lidos, aqui, como nomenclaturas racistas e/ou 
separatistas.
IMPORTANTE
26
Conhecimentos de um hacker
O hacker é um profissional extremamente inteligente, que deve ser 
capaz de resolver problemas e saber tudo sobre sistemas operacio-
nais, tais como Linux e Windows, que são os sistemas mais usados 
atualmente.
Sistemas operacionais são aqueles programas que têm como 
função fazer uma interface de comunicação amigável entre nós e 
toda a parte física do computador. Não existe sistema operacional 
melhor ou pior, existe o que você se adapta melhor. No caso dos hac-
kers, o sistema operacional mais usado é o Linux. Existem várias dis-
tribuições Linux, mas os hackers procuram sempre as que, de ante-
mão, vêm com ferramentas nativas para serem usadas, reduzindo, 
assim, não só o tempo na instalação de ferramentas, mas também 
os testes de funcionalidade etc. Um dos mais famosos entre os hac-
kers é o Kali Linux, referência em ferramentas para anonimato, pré e 
pós exploração, elevação de usuário, além de vários exploits.
O Kali Linux é chamado de a distro dos hackers por conta do 
seu público-alvo serem profissionais de segurança da informação 
ou simpatizantes, que constantemente estão testando sistemas de 
segurança e redes para aprimorá-los e deixá-los, cada vez mais, se-
guros. Basicamente estão hackeando serviços, sistemas operacio-
nais ou até mesmo sites, usando ferramentas que, muitas vezes, o 
Kali disponibiliza por padrão em sua instalação, fazendo com que 
você gaste menos tempo instalando e configurando ferramentas do 
que as usando. Assim sendo, facilmente se alcança o ideal de pro-
dutividade.
Uma distribuição Linux (geralmente abreviada como distro) é um 
sistema operativo ou sistema operacional criado a partir de uma co-
leção de softwares, com o uso do núcleo Linux, um sistema gestor de 
pacotes, e um repositório de programas.
SAIBA MAIS
27
Além de sistemas operacionais, os hackers têm como habili-
dade principal a programação, linguagens antigas ou novas como, 
por exemplo, C, C++, C#, PHP, Python, dentre outras, como lingua-
gens que são usadas para fazer scripts ou exploits para explorar falhas 
e vulnerabilidades.
Dentre as mais usadas estão o Python. O Python é uma lingua-
gem muito usada no meio dos hackers, pois é possível desenvolver 
diversas coisas com ele, desde scripts até exploits robustos para ex-
plorar vulnerabilidades encontradas.
Os hackers também têm um amplo conhecimento em redes de 
computadores e seus protocolos TCP/IP. Protocolo funciona comose 
fosse uma linguagem. As máquinas, para se comunicarem em uma 
rede ou na internet, precisam usar a mesma linguagem. Quando 
dois ou mais computadores são interligados, seja por meio de cabos 
ou redes sem fio, só conseguem se comunicar se ambas estiverem 
usando o mesmo protocolo. O protocolo definido como protocolo 
padrão é o TCP/IP, que é usado no mundo pelo tráfego de redes in-
ternas ou externas (internet). O TCP/IP não é somente um protoco-
lo, é uma família, um grupo de protocolos, que foi desenvolvido na 
década de 60 pela DARPA (Defense Advanced Research Projects Agency) 
e foi especificado oficialmente em 1973. Os líderes do projeto foram 
Vinton Gray Cerf e Robert Elliot Kahn.
O objetivo da DARPA foi criar uma rede onde computadores pudes-
sem se comunicar, mas que fossem totalmente tolerantes a falhas. 
Caso algum dos seus servidores fosse atacado, a comunicação não 
poderia ser perdida, ou seja, se a comunicação entre servidores es-
tava sendo feita por meio dessa linha, ela poderia ter um caminho 
alternativo para que a mensagem pudesse ser entregue.
 Em 1983, surgiu um modelo de comunicação chamado OSI 
(Open System Interconnection). Foi o modelo criado como referência 
CURIOSIDADE
28
para ser adotado por todas as empresas que fossem criar dispositi-
vos de comunicação em geral. Quando o modelo OSI foi terminado, 
o modelo TCP/IP já havia ganhado espaço há aproximadamente 15 
anos no mercado, sendo utilizado na maioria dos dispositivos. Por 
esse motivo, e com o grande crescimento do TCP/IP, o modelo OSI 
foi deixado para estudos. O modelo TCP/IP, por sua vez, passou a ser 
usado em todos os computadores e dispositivos que se conectam na 
rede.
No exato momento em que clicamos em um link, um conjunto 
de informações é criado. Essas informações precisam de um veículo 
próprio para viajarem. O pacote IP, então, é preenchido, nomeado e 
colocado em seu caminho. As informações que não couberem no pa-
cote são deixadas e colocadas em outro, e assim por diante, até que 
todas as informações saiam da sua origem até seu destino. O paco-
te precisa ser etiquetado com as informações mais importantes. Ao 
serem montados, os pacotes passam da camada de aplicação para a 
camada de transporte e recebem um cabeçalho com as portas TCP/
UDP de origem e destino.
Após receberem os dados da camada de transporte, são enca-
minhados para a camada de rede, que receberá um outro cabeçalho. 
O IP de origem e destino, após neles inseridas essas informações, 
desce mais uma camada para a camada de enlace e ganha mais um 
cabeçalho de informações com o MAC Address de origem e destino. 
O pacote é enviado para a LAN, área local de trabalho. Nesta área 
estão conectados todos os roteadores e computadores locais para a 
troca de informações via cabo ou wireless. Entretanto, como em uma 
estrada, por mais controlada que seja, os acidentes podem aconte-
cer. Por esse caminho trafegam os mais diferentes tipos de pacotes 
e realmente o tráfego é muito intenso. Desse modo, o roteador local 
identifica os pacotes com suas etiquetas e endereçamentos e faz a 
rota que ele deve seguir.
Quando um pacote deixa o roteador em direção à internet, ele 
passa pelo roteador direcional que seleciona os pacotes que são en-
viados com mais urgência e que, por sua vez, têm mais prioridade. 
Antes do pacote chegar ao seu destino, ele sai da sua placa de rede 
sendo entregue ou enviado para o próximo nível, o Proxy. 
29
O Proxy é utilizado por algumas empresas para monitorar o 
que está sendo acessado na internet pelos seus funcionários, uma 
forma também de segurança. É um intermediário entre o usuário e 
o servidor, ou seja, ele recebe as informações passadas, mascara e 
repassa para o servidor e, nesse processo, mascara o seu número IP 
e cria uma impossibilidade de ser identificado, reduzindo, portan-
to, a chance de um criminoso virtual ter acesso ao seu número de 
IP e, a partir daí, ter acesso à sua rede. Muitos criminosos virtuais 
usam esse recurso como uma forma de anonimato. Existem outros, 
como a VPN e o TOR, que têm o mesmo intuito. Eles utilizam servi-
dores públicos de proxies para fazer esse mascaramento e dificultar 
a identificação e, assim, efetuar seus crimes. Lembrando que não é 
impossível identificar criminosos. Mesmo com Proxy, existem for-
mas de fazer a identificação.
Ao utilizar um proxy, existem grandes possibilidades de que 
sua navegação fique mais lenta. Há servidores públicos, como cita-
do, que disponibilizam esses recursos gratuitamente, embora não 
garantam uma boa performance. Existem algumas ferramentas que 
são voltadas à segurança da informação. Pensando nelas, podemos 
citar o Web Filter, que determina o que pode ser acessado ou não. 
Com ele, todo o tráfego será armazenado como log e, depois, o proxy 
camufla o seu IP na hora que estiver acessando, conferindo maior 
proteção para a sua rede e para os seus dados.
Atualmente, não é mais necessário fazer isso de forma ma-
nual, já que existem ferramentas capazes de fazê-lo de forma auto-
mática e com capacidade de integrar todas as funções em uma coisa 
só. Por exemplo, o Firewall Next Generation UTM que, além de ser um 
firewall de borda, ainda integra IPS, IDS e proxy para trazer a maior 
proteção para sua rede.
O pacote possui vários tamanhos dependendo do seu conteú-
do e, como consequência do seu trabalho, o proxy abre o pacote e lê 
todo o seu conteúdo e, dependendo do que encontra, o envia adian-
te. Se existir um proxy com regras de bloqueio, ao abrir o conteúdo 
do pacote e o proxy identificar que o conteúdo que está ali dentro não 
foi autorizado pelos seus administradores, ele barra o pacote de ser 
entregue e o destrói, fazendo com que a rede se torne cada vez mais 
segura. No próximo passo, o pacote passa pelo firewall. Dentro dele, 
30
há um controle de todas as portas de entradas e saídas, tanto da in-
tranet quanto da internet.
Quando o pacote sai do firewall, ele é colocado novamente na 
rota por um outro roteador até a entrega final. Esse roteador sele-
ciona somente os pacotes que são enviados para um determinado 
destino e, eventualmente, alguns são ignorados e destruídos. Então, 
os pacotes principais serão enviados para o mundo da internet, onde 
roteadores e switches são responsáveis por fazer as interligações en-
tre as estações. Não existe nenhuma proteção ou restrição onde tudo 
trafega sem controle e onde estão milhões de coisas trafegando e 
aguardando seu destino. Após os pacotes saírem da internet, eles 
chegam ao seu destino passando por outro firewall que, por sua vez, 
pode ser um grande aliado ou um grande muro onde suas informa-
ções jamais poderão passar.
O firewall é uma “parede de fogo” projetada para permitir 
acesso somente a quem respeita os controles e as especificações do 
que pode ou não sair de uma rede corporativa ou doméstica. Com o 
IoT e todas as automações utilizando a internet, vemos por várias 
vezes residências necessitando de firewall, não só para proteger a 
sua casa, mas também para proteção de conteúdo para a família. É 
um nicho de mercado que está muito pequeno, mas com grandes 
possibilidades de crescimento.
É basicamente um controlador que vai especificar as possibi-
lidades de entrada e saída de todas as requisições que sua rede, a sua 
empresa ou sua residência podem fazer e, com essa solução, você 
consegue controlar e definir o que pode ser feito e o que não pode.
Um exemplo de aplicação do firewall: imagine um condomínio. 
Normalmente, em um condomínio, o porteiro fica responsável por 
quem pode ou não entrar e exigir suas identificações. No firewall 
não é diferente; os pacotes, ao chegarem dentro dele, são analisados 
e, se forem autorizados, podem entrar na rede.
EXEMPLO
31
Existem alguns tipos de firewall, mas iremos citar dois, os 
principais e os mais comuns dentro das empresas ou das residên-
cias. O primeiro é a filtragem de pacotes, que é responsável por fa-
zer um controle básico das suas regras sobre o que se pode e o que 
não se podeacessar. Uma informação será apresentada, por meio de 
uma tabela básica, tanto ao endereço de entrada quanto ao endereço 
de saída. Algumas delas são estáticas, então você precisaria mudar 
essa configuração para que a tabela fique dinâmica ou, então, você 
precisaria de algo um pouco mais dinâmico e capaz de adaptar al-
gumas situações. Por exemplo, liberar ou não um certo horário de 
acesso à internet ou algum tipo de conteúdo.
Atualmente, os firewalls Next Generation UTM são mais dinâ-
micos e capazes de fazer esse tipo de controle de uma forma mais 
inteligente. Como esse que estamos falando é um firewall mais sim-
ples, pode ser facilmente encontrado no Windows ou em roteado-
res com ele predefinido, mas lembrando: você não terá um controle 
muito fácil ou amplo na sua mão, pois você terá um serviço mais 
básico sem relatórios ou logs, que ajudam a fazer o monitoramento 
mais fácil e ter uma correção mais assertiva.
Um segundo tipo é o firewall de aplicação que às vezes está 
dentro ou é o próprio firewall de rede. Além de ser o responsável por 
fazer um controle mais aprofundado de todos os recursos que você 
vai precisar, ele também fará uma análise mais minuciosa dentro de 
sua rede e de todos os controles que você precisaria fazer para den-
tro de uma rede interna, como a rede de uma empresa. Um exemplo 
é a análise de logs de acesso ou conexão. Esse tipo de firewall dá essa 
possibilidade. Não é simplesmente um firewall que você fala o que 
pode entrar ou o que pode sair, é um firewall mais completo com 
muito mais recursos. Nesse caso, você precisa de uma máquina ex-
clusiva, mais potente e que será a responsável por fazer essa pro-
teção. Não pode ser um simples roteador, levando em consideração 
que você vai precisar de muito mais recursos para que seja feito todo 
um gerenciamento de informações passadas por essa rede, pois 
tudo o que os seus usuários fazem, e que fazem parte dessa rede, vai 
precisar passar por esse firewall de controle.
Dentro de um firewall, os pacotes passam de um a um sen-
do minunciosamente checados e os pacotes não autorizados para a 
32
entrada são destruídos como, por exemplo, o pacote ICMP ou Ping. 
Os firewalls contam com uma proteção para bloquear o ICMP. Quan-
do o pacote chega ao firewall de destino e não tem essa permissão, 
ele é automaticamente destruído. Já os pacotes que têm autorização 
são encaminhados para a rede de destino sendo recebidos, um a um, 
abertos, descompactados e entregues para o cliente.
Sabemos, portanto, que diariamente ocorrem ataques por 
criminosos virtuais e que esses ataques são os responsáveis por em-
presas perderem diariamente muito dinheiro. Muitas vezes, empre-
sas que passaram por algum tipo de ataque hacker demoram muito 
tempo para se recuperar e, quando se recuperam, muitas outras 
empresas simplesmente fecham as portas após um ataque concluí-
do. Mas, afinal, que tipo de ataques são esses? Citaremos a seguir 
alguns tipos de ataques mais comuns que os cibercriminosos utili-
zam em busca de conseguir algum arquivo importante ou usuários 
e senhas.
DDoS
O ataque DDoS tem como objetivo sobrecarregar toda a infraestru-
tura de rede, recursos de memória ou processamento de um ser-
vidor ou serviço com o intuito de deixá-lo indisponível a ponto de 
ninguém conseguir acesso. Nesse sentido, o principal foco desse 
ataque não é roubar informações ou sequestrar dados, e sim deixar 
servidores inteiros offline e causar grandes problemas para a equipe 
de TI.
O modo de ação de cibercriminosos consiste em um compu-
tador chamado “computador mestre”, que dispara um “gatilho” 
para milhões de computadores zumbis e esses zumbis, por sua vez, 
são responsáveis por enviar uma tentativa de conexão para um host 
específico até que ele simplesmente saia do ar.
Man-in-the-middle 
O ataque MITM consiste em adquirir dados. Todos sabem que o que 
os criminosos virtuais mais procuram são dados e, com o ataque 
33
MITM, não é difícil consegui-los. Todos estamos conectados a um 
roteador com nossos smartphones ou até mesmo notebooks, trafe-
gando milhões de pacotes em uma rede wi-fi. Assim, o ataque MITM 
é utilizado junto a esses roteadores.
O atacante fica analisando tráfego a tráfego dentro de um 
determinado roteador que consegue acesso e, consequentemente, 
tudo que passa por lá ele consegue ver: quando passam informa-
ções importantes, ele captura. Você acha que conversa de WhatsApp 
é segura e criptografada? Pois bem, se o atacante capturar a chave 
de criptografia de ambas as pontas, a conversa pode ser facilmente 
lida. Portanto, cuidado ao utilizar uma conexão em redes públicas, 
você poderá se surpreender.
Sniffer
O sniffer é o responsável por capturar pacotes dentro de uma rede, 
seja cabeada ou não. Pode ser comparado com o MITM, mas existem 
duas formas de utilizá-lo:
 • a forma ética – consiste em capturar os pacotes de uma rede 
com o intuito de ver o que se passa e identificar algum paco-
te malicioso (existem dois programas muito usados que são o 
Wireshark e o TCPdump, muito usados para analisar o tráfego 
de rede;
 • a forma não ética – criminosos virtuais instalam um malware 
em um servidor e começam a capturar todos os pacotes saídos 
dele e a partir dessa ação, eles juntam informações sigilosas 
com o intuito de prejudicar uma empresa ou uma pessoa.
34
Figura 2 - Tela de sniffer TCPDump em execução
Fonte: a autora (2022).
Phishing
Como na engenharia social os hackers usam a persuasão para conse-
guir as informações que querem, com o phishing não é diferente. O 
phishing é normalmente usado como uma ferramenta de captura de 
dados e pode ser facilmente utilizado em parceria com a engenharia 
social. O atacante monta um site de um banco idêntico, disponibiliza 
na internet e sai enviando para vários e-mails contando que uma 
pessoa despreparada acesse e passe as informações que eles soli-
citam.
É muito fácil comprar uma televisão de 50 polegadas 4k por 
R$ 600,00, só que essa televisão nunca chegará e terão diversas 
compras no cartão de crédito que a vítima usou para fazer a compra. 
O phishing é mais comum do que as pessoas imaginam e diariamente 
várias pessoas são vítimas dele.
Mas como posso me proteger desses ataques no meio corpo-
rativo? Existe uma solução para isso? A resposta é sim! Existem di-
versas ferramentas e soluções com o intuito de promover proteção 
para uma rede corporativa, desde um simples firewall até uma solu-
ção extremamente robusta de honeypot.
35
Crimes cibernéticos
Com frequência, vemos notícias de crimes pela internet, como, 
por exemplo, o vazamento de informações secretas. No Brasil, um 
caso que repercutiu ao longo da década de 2010, foi o que envolveu 
a ex-presidente Dilma Rousseff e a Agência Nacional de Seguran-
ça (NSA, na sigla em inglês) dos Estados Unidos. Na ocasião, a NSA 
grampeou diversos números de telefones, entre eles o telefone via 
satélite Inmarsat, instalado no avião presidencial, com o qual a pre-
sidente se comunicava com pessoas do mundo inteiro quando es-
tava a bordo da aeronave. Esse foi um dos 29 números grampeados 
pela agência.
Em relação aos crimes cibernéticos, há uma grande varieda-
de. Veja a seguir alguns deles.
 • Falsidade ideológica: é um crime que vem se tornando cada 
vez mais frequente com o avanço da internet. As pessoas 
criam e-mails e redes sociais com fotos e nomes fictícios ou 
até mesmo nomes e fotos reais de outra pessoa, pois fica mais 
fácil cometer crimes sem ser identificado.
 • Acesso e uso ilegal de dados: consiste na permissão indevi-
da de outros aos dados pessoais ou de uma instituição. Na in-
tenção de dificultar o acesso de criminosos às organizações, é 
importante que os respectivos dados sejam liberados somente 
ao setor que necessita fazer seu uso. Por exemplo, a área de 
produção de uma organização deve ter acesso a itens de esto-
que, como quantidade, composição, peso etc., mas não deve 
ter acesso aos preços de compra e aos nomes dos fornecedo-
res. Dessas informações, somente o setorde compras poderá 
ter conhecimento.
 • Alteração e destruição de dados: consiste na manipulação de 
saldos em contas bancárias, resultados de provas, concursos, 
transferências indevidas de quantias de uma conta para outra 
etc. Um vírus pode também causar a destruição dos dados, in-
viabilizando o funcionamento de alguns sistemas, ou, às ve-
zes, o funcionamento dos próprios computadores. Um modo 
36
de nos precavermos é realizar o que chamamos de backup, ou 
seja, uma cópia desses dados em outra mídia, como um CD/
DVD ou HD externo e guardá-los em um local seguro, pois, se 
houver a destruição do arquivo original, a organização poderá 
recuperá-los nessas outras fontes.
 • Conteúdo criminoso: com a expansão da internet, a criação de 
sites com conteúdo criminoso se transformou em um dos cri-
mes cibernéticos mais cometidos. Os sites dedicados ao crime 
podem ser aqueles que vendem produtos e conteúdos ilegais, 
como drogas, pornografia infantil e armas, e os que oferecem 
programas ilegais, como o vírus, que pode destruir ou roubar 
dados, como vimos anteriormente. Nesse caso, comete crime 
tanto quem compra quanto quem repassa ou cria o programa.
 • Cópia ilegal de software: a pirataria ou cópia ilegal de software 
no mundo tecnológico consiste em copiar músicas, progra-
mas e imagens sem o pagamento dos direitos autorais ao seu 
criador. O processo de pirataria funciona da seguinte forma – 
o “pirata” invade o servidor no qual o alvo a ser copiado se 
encontra, faz a cópia e negocia com terceiros. Essas cópias po-
dem ser de músicas, software, vídeos, livros etc. Esse material 
é repassado para o mundo todo pela internet, e os comprado-
res finais podem fazer o download.
 • Crime internacional: atualmente, com o avanço da tecnolo-
gia e da internet, a distância entre países ficou bem menor. 
As fronteiras nessas áreas praticamente não existem. Em re-
lação a isso, alguns países são mais tolerantes que outros em 
alguns aspectos, o que ajuda na ação criminosa, pois eles se 
aproveitam dessa diferença e distribuem suas atividades ile-
gais de forma a confundir as autoridades nos processos legais, 
ocasionando, assim, um crime internacional. Os governos 
estão se ajudando para combater a pedofilia, criando leis em 
comum e em combate ao ciberterrorismo, isto é, o terrorismo 
pelo computador. Assim, os governantes trabalham para im-
pedir que sites e e-mails disseminem conteúdos maliciosos e 
ameaças de sequestro e morte.
37
Diante desses acontecimentos, algumas estratégias devem 
ser tomadas para assegurar e proteger de ameaças à segurança da 
informação no ambiente interno e externo, seja em uma organiza-
ção ou em casa.
No ambiente interno, devem ser observados aspectos re-
lacionados às vulnerabilidades; já no ambiente externo devem ser 
observados os diferentes fatores que geram incidentes de seguran-
ça. A ameaça e a vulnerabilidade devem ser medidas e quantifica-
das para uma prática de prevenção. Existe um conjunto de medidas 
preventivas que precisam ser adotadas, que incluem manter as ver-
sões mais recentes dos programas, aplicando todas as atualizações 
disponíveis, e usar mecanismos de segurança, como o antimalware 
e o firewall pessoal. Há também cuidados a serem tomados na utili-
zação dos computadores, por exemplo, atenção na hora de executar 
arquivos.
Incidentes de segurança
Os incidentes de segurança são eventos que podem causar uma in-
terrupção no processo de negócio, em consequência da violação 
de algum dos aspectos de um sistema de informação. Eles podem, 
também, estar relacionados a outro fator, como os acidentes na-
turais, greve ou outro fator. Um incidente de segurança, portanto, 
pode ser definido como qualquer evento adverso, confirmado ou sob 
suspeita, relacionado à segurança de sistemas de computação ou de 
redes de computadores.
No Gráfico 1 são apresentadas as porcentagens relacionadas à 
quantidade de incidentes, por tipo de ataque, de janeiro a dezembro 
de 2018, reportados ao CERT – Centro de Estudos, Resposta e Trata-
mento de Incidentes de Segurança no Brasil (CERT.br) e publicados 
em seu portal oficial em 2019.
38
Gráfico 1 - Incidentes reportados por tipo de ataque
Fonte: CERT.br, 2019 (Adaptado).
Junto ao gráfico 1, o CERT.br detalha algumas informações 
para melhorar a compreensão e a análise dos dados apresentados 
em relação à classificação dos tipos de ataque, das quais vale a pena 
destacar:
 • Worm – atividades maliciosas relacionadas ao processo auto-
matizado de propagação de códigos maliciosos na rede;
 • dos (DoS – Denial of Service) – ataques em que o indivíduo 
ataca o sistema por um computador ou um conjunto de com-
putadores para prejudicar a operação de um serviço, compu-
tador ou rede;
 • invasão – um ataque que resulta no acesso não autorizado a 
um computador ou rede;
 • Web – visa ao comprometimento de servidores ou à desfigu-
ração de páginas na internet;
 • scan – varreduras em redes de computadores com o intuito 
de identificar quais estão ativos e os serviços disponibilizados, 
podendo identificar potenciais alvos e explorar as possíveis 
39
vulnerabilidades;
 • fraude – engloba as tentativas de fraudes, ou seja, incidentes 
em que ocorre uma tentativa de se obter vantagem;
 • outros – incidentes gerais que não se enquadram em nenhu-
ma dessas categorias.
Não devemos confundir scan com scam. Scams (com “m”) são 
quaisquer esquemas para enganar um usuário, geralmente com fi-
nalidade de obter vantagens financeiras. Ataques deste tipo são en-
quadrados na categoria fraude.
Já no Gráfico 2 são apresentadas as porcentagens relaciona-
das à quantidade de incidentes reportados ao CERT.br por tentativas 
de fraude, de janeiro a dezembro de 2018, e publicadas em seu portal 
em março de 2019.
Gráfico 2 - Incidentes reportados por tentativas de fraudes
Fonte: CERT.br, 2019 (Adaptado).
O gráfico 3 apresenta o total mensal de incidentes reportados 
ao CERT.br, de janeiro a dezembro de 2018, e foram publicados em 
seu portal em março de 2019.
40
Gráfico 3 - Total mensal de incidentes reportados
Fonte: CERT.br, 2019 (Adaptado).
No quadro 5 é apresentado um resumo comparativo das prin-
cipais características que diferenciam códigos maliciosos, como 
forma de obtenção e de instalação, meios usados para propagação 
e ações maliciosas executadas nos equipamentos infectados. Res-
salta-se, ainda, que esta classificação tem sofrido alterações devido 
ao aparecimento de novas variantes, as quais acabam incorporando 
características de outros códigos maliciosos.
Quadro 5 - Resumo comparativo entre os códigos maliciosos
41
Fonte: CERT.br, 2012, p. 31. (Adaptado).
Caro(a) aluno(a),
Neste material, falamos sobre a segurança da informação, seu con-
ceito e sua importância para proteger informações em organiza-
ções, já que, como aprendemos, a informação é um ativo de grande 
valia para as organizações do mundo globalizado.
Em seguida, abordamos o teste de invasão, a qual consiste em testar 
a segurança de uma determinada empresa ou sistema, passando por 
três tipos, sendo o Black Box o que consiste em uma análise completa 
e com uma proximidade maior de um ataque real, onde o atacante 
não tem informação nenhuma do ambiente; já o Gray Box consis-
SINTETIZANDO
42
te em um ataque com alguma informação sobre o ambiente; e, por 
fim, o White Box, que consiste em um teste de invasão com todas as 
informações do ambiente.
Além disso, vimos exemplos de crimes cibernéticos, como falsidade 
ideológica, acesso e uso ilegal de dados, alteração e destruição de 
dados, conteúdo criminoso, criação de programas e sites dedicados 
ao crime, pirataria de software, crime internacional e vírus de com-
putador.
Por fim, apresentamos alguns dados estatísticos relacionados aos 
incidentes de segurança, conforme exemplos disponibilizados pelo 
CERT – Centro de Estudos, Resposta e Tratamento de Incidentes de 
Segurança no Brasil (CERT.br).
UN
ID
AD
E
2
Pentest: tipos, 
fases e ferramentas 
usadas
Objetivos
 ◼ Abordaros tipos de pentest mais utilizados por pentesters.
 ◼ Apresentar de forma detalhada as fases de um pentest.
 ◼ Apresentar algumas ferramentas famosas no meio hacking 
normalmente usadas para o pentest.
44
Introdução
Caro(a) aluno(a), 
Neste material, vamos abordar os conceitos fundamentais e deta-
lhados sobre os diferentes tipos de pentest e suas respectivas fases. 
Inicialmente estudaremos sobre o tipo Black Box, também conhe-
cido como “teste cego”, em que os pentesters não terão nenhuma 
informação sobre a estrutura de rede do contratante, atacando “às 
cegas”, como faria um criminoso sem nenhum conhecimento ou 
acesso prévio ao seu alvo. Em seguida, falaremos sobre o White Box, 
em que o pentester responsável tem pleno conhecimento da infraes-
trutura interna do cliente, o que permite desenhar as estratégias de 
ataque com antecedência. Conheceremos, também, o Gray Box, que 
mescla os dois métodos acima, isto é, a empresa contratada para 
testar tem acesso apenas parcial às informações da infraestrutura 
interna do contratante, antes do ataque. 
Após decidir o tipo de pentest a ser aplicado, seja White Box, 
Gray Box ou Black Box, devemos entender e definir fases dos ataques. 
As fases de um pentest são: reconhecimento, enumeração, escanea-
mento, análise de vulnerabilidade, exploração e pós-exploração. 
Vamos ver cada uma dessas fases em detalhes, além de conhecer um 
conjunto de ferramentas possíveis para executá-las.
Pronto(a) para continuar evoluindo seus conhecimentos 
nesta área fascinante?
45
Tipos de pentest 
Um pentest, coloquialmente conhecido como “teste de caneta”, é 
um ataque simulado, autorizado em sistemas ou redes de compu-
tadores, realizado para avaliar a segurança do ambiente. O teste é 
realizado para identificar os pontos mais fracos, conhecidos como 
vulnerabilidades ou falhas, incluindo o potencial de pessoas não au-
torizadas obterem acesso a recursos, dados ou informações de de-
terminado sistema ou servidor.
O processo normalmente identifica os sistemas de destino e 
um alvo específico, depois analisa as informações disponíveis e rea-
liza vários testes para atingir esse objetivo. Um pentest pode ajudar 
a determinar se um sistema é vulnerável a ataques e se suas defesas 
são suficientes.
Os problemas de segurança da informação que forem desco-
bertos pelo pentest devem ser relatados ao proprietário do sistema 
ou do servidor. Os relatórios de testes de invasão também podem 
avaliar possíveis impactos para a organização e sugerir contrame-
didas para reduzir ou mitigar o risco.
O pentest é reconhecido como um método para obter segu-
rança em um sistema ou serviço dentro da infraestrutura de TI, 
tentando violar parte ou toda a segurança desse sistema e usando 
as mesmas ferramentas e técnicas que um criminoso virtual utiliza 
para roubar informações.
Assim, as metas de um pentest podem variar de acordo com 
as vulnerabilidades ou falhas exploradas por um criminoso virtual e 
informadas ao cliente.
Os pentests são um componente de uma auditoria de seguran-
ça da informação de forma mais completa. Por exemplo, o Padrão de 
Segurança de Dados do Setor de Cartões de Pagamento necessita de 
um pentest em uma programação regular após alterações no sistema 
para verificar possíveis vulnerabilidades existentes ou alguma falha 
no desenvolvimento dessa modificação.
Existem várias formas de colocar em prática um teste de in-
vasão. A essa altura, você já sabe um pouco sobre esses testes, mas 
46
vamos vê-los aqui de forma mais aprofundada, a seguir:
Black Box
É quando o atacante não tem conhecimento nenhum sobre o alvo 
que vai fazer o ataque. Esse tipo de teste é mais próximo de um ata-
que real. Não são fornecidos com nenhum diagrama de arquitetura 
ou código-fonte que não esteja disponível publicamente. Um teste 
Black Box determina as vulnerabilidades em um sistema que são ex-
ploráveis de fora da rede.
Ou seja, significa que o pentest Black Box se baseia em uma 
análise dinâmica de programas e sistemas atualmente em execução 
na rede de destino. Um pentester que utiliza esse tipo de pentest deve 
estar familiarizado com ferramentas e metodologias de verificação 
automatizadas para testes de invasão manual. Os pentesters também 
precisam ser capazes de criar seu próprio mapa da rede de destino 
com base em suas observações, já que nenhum diagrama desse tipo 
é fornecido a eles.
Esse tipo de teste é usado normalmente quando o cliente quer 
ter uma visão completa sobre se está seguro ou não, tendo essa vi-
são de fora. O pentest Black Box avalia se a equipe de segurança está 
aplicando métodos de proteção para a rede e para as soluções da 
empresa.
Na maioria das vezes, o pentest Black Box tem um nível de su-
cesso muito grande, uma vez que simula ataques e técnicas de cri-
minosos virtuais.
White Box
O próximo tipo é o pentest White Box, nomeado também como “teste 
de caixa clara”, caixa aberta, auxiliares e testes lógicos, é o contrá-
rio do Black Box. Ele é utilizado quando o atacante tem conhecimen-
to total do ambiente, hosts, range de IP, código-fonte, credenciais 
ou outras informações que podem ser úteis para que o atacante dê 
andamento em um pentest que, normalmente, ocorre de forma in-
47
terna.
O principal desafio com o White Box é peneirar a enorme 
quantidade de dados disponíveis para identificar possíveis pontos 
de fraqueza, tornando-o o tipo de pentest mais demorado, depen-
dendo do tamanho da rede ou sistema testado.
Ao contrário dos pentesters Black Box ou Gray Box, os pentes-
ters White Box são capazes de executar análise de código estático, 
familiarizando-se com analisadores de código-fonte, depuradores 
e ferramentas semelhantes, importantes para esse tipo de teste. No 
entanto, as ferramentas e técnicas de análise dinâmica também são 
importantes para esse teste, uma vez que a análise estática pode ig-
norar as vulnerabilidades introduzidas pela configuração incorreta 
dos sistemas ou rede de destino.
Esse tipo de pentest fornece uma avaliação abrangente de vul-
nerabilidades internas e externas, tornando-se a melhor opção para 
o teste de cálculo. A relação próxima entre os pentesters White Box e 
os desenvolvedores fornece um alto nível de conhecimento do sis-
tema, mas pode afetar os comportamentos do testador, já que eles 
operam com base em conhecimento não disponível para hackers.
Existem várias maneiras de fazer White Box. Por exemplo, em 
uma empresa com locais específicos, com ou sem credenciais, ou 
com credenciais simples, pode-se testar até onde é possível ir. Um 
exemplo é com um usuário com perfil básico. O atacante, no pentest 
White Box, pode tentar analisar acessos e permissões, entre outros 
testes, para mitigar qualquer ataque interno, seja de hackers ou dos 
próprios funcionários com um pouco de conhecimento e que que-
rem prejudicar a empresa.
Gray Box
É um teste em que o atacante tem um conhecimento parcial; ele não 
terá um conhecimento igual, como no White Box, ou nenhum conhe-
cimento, como se fosse um Black Box.
Um pentester que utiliza o tipo de pentest Gray Box terá os ní-
veis de acesso e conhecimento de um usuário, potencialmente com 
48
privilégios elevados em um sistema. Os pentesters Gray Box geral-
mente têm algum conhecimento dos recursos internos de uma rede, 
potencialmente incluindo a documentação de design e arquitetura e 
uma conta interna à rede.
Nesse tipo de pentest é fornecida uma avaliação mais focada 
e eficiente da segurança de uma rede, se comparada ao que o Black 
Box proporciona. Sendo assim, usando a documentação de design de 
uma rede, os pentesters podem concentrar seus esforços de avalia-
ção nos sistemas com maior risco e valor desde o início, em vez de 
gastar tempo determinando essas informações por conta própria. 
Uma conta interna no sistema também permite testar a segurança 
dentro do perímetro endurecido e simula um invasor com acesso de 
longo prazo à rede.
Nesse teste, o atacante tem como objetivo ganhar acesso ad-
ministrativo e comprometeroutros ambientes dessa rede utilizando 
esse médio conhecimento a respeito da infraestrutura da empresa.
Dos testes citados acima, ainda existem outros testes, como o 
teste externo e interno, que veremos a seguir
Teste externo 
O teste externo é quando o atacante não necessita ficar den-
tro da empresa; ele pode usar a internet para fazer esse teste e pode 
fazer de qualquer lugar em que estiver.
Esse teste é muito importante quando é feito com o modelo 
Black Box, pois, a partir daí, ele tem exatamente a mesma visão que 
criminosos virtuais têm.
Teste interno 
O teste interno é quando o atacante está alocado dentro do 
cliente, com todo acesso físico à rede do cliente. Nesse tipo de teste 
pode ocorrer White Box, Gray Box ou até mesmo Black Box. Um exem-
plo do Black Box interno é quando a empresa fecha com o atacante 
um pentest interno e o atacante não tem nenhuma informação in-
terna do cliente, então, é passado ao atacante um cabo de rede ou 
acesso Wi-Fi para que tente invadir utilizando as técnicas que co-
nhece, sem que a empresa ceda nenhuma informação.
49
Fases do ataque
O pentest, ou teste de invasão, é dividido em algumas fases que faci-
litam e completam todo o processo para que, quando o atacante for 
fazer a documentação, seja mais fácil repassar ao cliente.
As fases de um pentest são reconhecimento, enumeração, 
escaneamento, análise de vulnerabilidade, exploração e pós-ex-
ploração. Antes de iniciar um pentest, é necessário que o cliente 
esteja ciente de todo o processo que será executado, para que não 
haja nenhuma falha de comunicação entre as partes. É necessário 
conhecer os objetivos do negócio do cliente no que diz respeito ao 
teste de invasão, além de saber se esse é o primeiro teste de invasão, 
o que o levou a procurar esse serviço, quais as exposições que ele 
mais teme, se existe algum dispositivo frágil com o qual deveremos 
ter cuidado ao efetuar os testes, dentre outras coisas que são impor-
tantes para o bom andamento de um pentest.
Vamos conhecer, a seguir, quais são as fases do pentest.
Reconhecimento
 A primeira fase com a qual o atacante vai se deparar ao iniciar um 
pentest é de reconhecimento, ou seja, o atacante assumiu um pentest 
do tipo Black Box e ele só tem uma URL ou um IP e, com isso, o ata-
cante precisa iniciar o processo de reconhecimento, que nada mais 
é do que identificar possíveis pontos de entrada dentro desse am-
biente. Então, uma vez que temos somente a URL ou o IP, o atacante 
irá analisar algumas informações e descobrir alguma forma de en-
trar. Vamos dar um exemplo: o atacante entra no navegador, procu-
ra um buscador de sua preferência e nele digita o nome da empresa. 
Nesse buscador irá aparecer alguns resultados referentes à procura 
e, normalmente, o site ou alguma URL que possa ser útil.
Após conseguir achar alguma informação, o atacante busca 
algo importante nas páginas de internet, ou na análise de algum 
input dentro dessas páginas que, por ventura, possibilitem a inser-
ção de dados, e-mails etc.
50
Outro ponto é o atacante analisar o código-fonte em caso de 
um ataque web. Você pode estar se perguntando: o que pode ter em 
um código-fonte HTML? No código-fonte o atacante, muitas ve-
zes, consegue identificar outros diretórios, como determinado site 
é arquitetado, ou ainda comentários que podem dar alguma base/
informação mínima que pode ser muito útil para a execução desse 
pentest.
Cada informação é de suma importância para o desenvolvi-
mento de um pentest; cada informação, por menor que seja, pode ser 
muito útil no futuro.
O Google se torna uma ferramenta de grande importância 
nessa fase do teste de invasão. O Google Hacking consiste em formas 
e técnicas diferentes de efetuar uma busca.
O Google tem um recurso muito interessante chamado Google Hac-
king ou Google Dorks, que são strings que o atacante consegue inserir 
na lista de buscados do Google e obter informações filtradas, como 
arquivos de bancos de dados, planilhas com senhas ou dados diver-
sos.
Caso você não tenha ideia de como fazer esse tipo de ação, existe um 
site com diversas dorks prontas, que é o Google Hacking Database, 
Basta acessar e utilizar.
Nele, você pode fazer um filtro de acordo com suas necessidades, 
além de utilizar os dorks já prontos.
SAIBA MAIS
51
Figura 1 - Dorks do Google Hacking Database
Fonte: print do autor (2019).
Outra forma de busca ou levantamento de informações tam-
bém muito usada atualmente é o Whois, que é um comando do Linux 
que também faz o mesmo papel de trazer todas as informações ca-
dastradas de um determinado site.
Com o Whois, muitas vezes o atacante consegue descobrir, por 
exemplo, um bloco de IP de determinada rede, ou seja, se a rede tem 
um bloco de IP fixo exclusivamente para eles. Isso normalmente 
ocorre dentro de grandes empresas, pois estas, normalmente, pos-
suidoras de uma infraestrutura madura, possuem um bloco de IP.
Então, rodando o Whois no domínio, o atacante consegue descobrir 
esse bloco de rede e, talvez, fixar seu ataque naquele bloco em es-
pecífico.
Caso o invasor, com um domínio ou um IP, não consiga des-
cobrir nada com o Google Hacking ou Whois, ele ainda precisa de um 
ponto de entrada para que consiga efetuar seu pentest; então as 
EXEMPLO
52
possibilidades são fazer o teste de DNS ou tentar descobrir subdo-
mínios ou algum outro servidor atrelado a esse domínio alvo. Para 
isso, pode-se utilizar algumas ferramentas que já vêm no Kali Linux 
como: DNSenum, DNSrecon, DNSmap, entre outras diversas.
Enumeração
Após concluído o processo de varredura, o atacante possui a infor-
mação de quantos dispositivos existem na rede e quantas portas 
estão abertas nesses dispositivos. O que o atacante ainda não sabe 
exatamente é qual serviço está rodando nesses dispositivos por trás 
dessas portas. Por exemplo, o atacante encontrou a porta 21 aberta, 
ou seja, um servidor FTP. Existem vários tipos de softwares que po-
dem utilizar esse serviço de FTP, ou web. Nessa fase, o atacante irá 
fazer o levantamento e a identificação desses servidores, com suas 
respectivas versões.
Nesse processo, o atacante consegue enumerar quantos 
usuários ou informações existem nesses sistemas ou servidores, 
ou seja, por meio da enumeração de recursos ou fingerprint, que se 
referem à identificação de serviços que estão rodando por trás. Até 
mesmo a identificação de vulnerabilidades, pois caso o atacante 
consiga identificar o serviço, ele deve encontrar as falhas existen-
tes para aquele serviço, tanto de forma manual quanto usando fer-
ramentas automatizadas com bancos de dados próprios e diversas 
informações cadastradas.
Existem diversas ferramentas que podem ser usadas para 
esse fim, tanto ferramentas genéricas que buscam falhas em todos 
os tipos de serviços como ferramentas específicas que focam, por 
exemplo, em ambiente web, SSH, Telnet, SQLi, dentre outras, que 
fazem uma varredura mais detalhada e objetiva das falhas que que-
rem buscar.
Escaneamento
Uma vez que já identificamos os hosts ou possíveis sistemas que o 
atacante vai atacar, a próxima fase é a do escaneamento, na qual o 
53
atacante irá identificar as portas abertas ou serviços ativos dentro 
dos sistemas e dar prosseguimento ao pentest.
Muitas vezes, quando um atacante vai fazer um escanea-
mento de portas para descobrir os serviços e as portas ativas, ele se 
depara com algum controle ou bloqueio. Se o atacante tentar esca-
near ou fazer uma varredura de portas em alguns servidores, pode 
ter certeza de que possivelmente irá ficar bloqueado se este servidor 
estiver com uma segurança bem projetada.
Após identificar o alvo que será escaneado, o atacante irá se-
lecionar algum scanner de portas para fazer essa varredura. Uma 
boa opção de scanner é o NMAP, que é um port scan com mais de 
20 anos, lançado em 1997. Apesar de antigo, vem evoluindo com o 
passar do tempo.
Para o Nmap, sempre são disponibilizadas diversas atualizações. 
Esse software ganhou diversos recursos, além da sua documentação