Baixe o app para aproveitar ainda mais
Prévia do material em texto
G RU PO SER ED U CACIO N AL PENTESTING E SOFTWARE DE CÓDIGO MALICIOSO PEN TESTIN G E SO FTW AR E D E CÓ D IG O M ALICIO SO Autores: Luciano dos Santos Viana; Edinilson da Silva Vida. Organizadora: Aline Ferreira Barbosa. Autores: Luciano dos Santos Viana; Edinilson da Silva Vida. Organizadora: Aline Ferreira Barbosa. PENTESTING E SOFTWARE DE CÓDIGO MALICIOSO Capa para impressão_2022 1,3Capa para impressão_2022 1,3 26/09/2022 10:18:2526/09/2022 10:18:25 Pentesting e software de código malicioso © by Ser Educacional Todos os direitos reservados. Nenhuma parte desta publicação poderá ser reproduzida ou transmitida de qualquer modo ou por qualquer outro meio, eletrônico ou mecânico, incluindo fotocópia, gravação ou qualquer outro tipo de sistema de armazenamento e transmissão de informação, sem prévia autorização, por escrito, do Grupo Ser Educacional. Imagens e Ícones: ©Shutterstock, ©Freepik, ©Unsplash. Diretor de EAD: Enzo Moreira. Gerente de design instrucional: Paulo Kazuo Kato. Coordenadora de projetos EAD: Jennifer dos Santos Sousa. Equipe de Designers Instrucionais: Gabriela Falcão; José Carlos Mello; Lara Salviano; Leide Rúbia; Márcia Gouveia; Mariana Fernandes; Mônica Oliveira e Talita Bruto. Equipe de Revisores: Camila Taís da Silva; Isis de Paula Oliveira; José Felipe Soares; Nomager Fabiolo Nunes. Equipe de Designers gráficos: Bruna Helena Ferreira; Danielle Almeida; Jonas Fragoso; Lucas Amaral, Sabrina Guimarães, Sérgio Ramos e Rafael Carvalho. Ilustrador: João Henrique Martins. Viana, Luciano dos Santos; Vida, Edinilson da Silva. Organizadora: Barbosa, Aline Ferreira. Pentesting e Software de Código Malicioso: Recife: Grupo Ser Educacional - 2022. 155 p.: pdf ISBN:978-65-81507-91-6 1. segurança 2. pentest 3. malware. Grupo Ser Educacional Rua Treze de Maio, 254 - Santo Amaro CEP: 50100-160, Recife - PE PABX: (81) 3413-4611 E-mail: sereducacional@sereducacional.com Iconografia Estes ícones irão aparecer ao longo de sua leitura: ACESSE Links que complementam o contéudo. OBJETIVO Descrição do conteúdo abordado. IMPORTANTE Informações importantes que merecem atenção. OBSERVAÇÃO Nota sobre uma informação. PALAVRAS DO PROFESSOR/AUTOR Nota pessoal e particular do autor. PODCAST Recomendação de podcasts. REFLITA Convite a reflexão sobre um determinado texto. RESUMINDO Um resumo sobre o que foi visto no conteúdo. SAIBA MAIS Informações extras sobre o conteúdo. SINTETIZANDO Uma síntese sobre o conteúdo estudado. VOCÊ SABIA? Informações complementares. ASSISTA Recomendação de vídeos e videoaulas. ATENÇÃO Informações importantes que merecem maior atenção. CURIOSIDADES Informações interessantes e relevantes. CONTEXTUALIZANDO Contextualização sobre o tema abordado. DEFINIÇÃO Definição sobre o tema abordado. DICA Dicas interessantes sobre o tema abordado. EXEMPLIFICANDO Exemplos e explicações para melhor absorção do tema. EXEMPLO Exemplos sobre o tema abordado. FIQUE DE OLHO Informações que merecem relevância. SUMÁRIO UNIDADE 1 Conceitos básicos sobre segurança da informação � � � � � � � � � � � � � � 13 Dimensões de um sistema de informação � � � � � � � � � � � � � � � � � � � � � � � � � �14 Vulnerabilidade, ameaça e risco à segurança da informação � � � � � � � � �15 Visão geral sobre testes de invasão � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 21 Black Box � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 23 Gray Box � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 24 White Box � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 24 Hacking Ético � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 25 Conhecimentos de um hacker � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 26 DDoS � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 32 Man-in-the-middle � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 32 Sniffer � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � �33 Phishing � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 34 Crimes cibernéticos � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 35 Incidentes de segurança � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 37 UNIDADE 2 Tipos de pentest � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � �45 Black Box � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 46 White Box � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 46 Gray Box � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 47 Fases do ataque � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 49 Reconhecimento � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 49 Enumeração � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 52 Escaneamento � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 52 Análise de vulnerabilidade � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 55 Exploração � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 57 Pós-exploração � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 60 Apagando rastros � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 62 Relatório � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 62 Softwares utilizados em um teste de invasão � � � � � � � � � � � � � � � � � � � � 63 Nmap � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 63 Maltego � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 65 theHarvester � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 67 Metasploit � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 68 Burp Suite � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 69 BeEF � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � �71 Nikto � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 72 DNS Enum � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 73 GoLismero � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 74 Cain e Abel � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 75 Sparta � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 76 Wireshark � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 76 P0f � � � � � � � � � � � � � � � � � � � � � � �� � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 77 WPScan � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 79 John the Ripper � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 79 UNIDADE 3 Ataques de programas maliciosos � � � � � � � � � � � � � � � � � � � � � � � � � � � � � �85 Ataques passivos � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 87 Ataques ativos � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 88 Ameaças da internet � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 89 Firewall e controle de acesso � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 92 Vírus de computador � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 94 Vermes de computador (worms) � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 99 Cavalo de Troia (trojan horse) � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 104 Bombas lógicas � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 106 Outros tipos de programas maliciosos � � � � � � � � � � � � � � � � � � � � � � � � �108 Entradas clandestinas (backdoors) � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 109 Botnets � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � �110 Rootkit � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 111 Spyware � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 112 UNIDADE 4 Medidas Preventivas de Segurança Contra Softwares de Código Malicioso � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 117 Firewall � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 124 Redes privadas virtuais � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 128 Proxy � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 130 AntiSpam � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 131 Backup e redundância de dados � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 132 Sigilo � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 136 Autenticação � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � �137 Navegação privada � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � � 140 Ferramentas e técnicas de auditoria de tecnologia de informação � 140 Apresentação Olá, aluno(a)! Sabemos que, diariamente, aparecem novas falhas e vulnerabilida- des em diversos sistemas, serviços ou até mesmo sistemas opera- cionais – nada é completamente seguro. Estamos em um mundo de internet das coisas, em que tudo é interligado, todos os dispositivos conversam entre si, cada um com um firmware ou sistema opera- cional diferente e cada um com sua vulnerabilidade – como disse, e repito mais uma vez, nada é completamente seguro. O Pentesting vem com o intuito de apresentar para as empre- sas tais vulnerabilidades – afinal, normalmente, elas não têm o co- nhecimento da existência dessas falhas em sua infraestrutura. Além disso, diversas formas de ameaças tornam um sistema vulnerável, ou seja, a presença de software de código malicioso influencia nos aspectos de segurança de sistemas. O objetivo deste material é preparar você para entender o que é um teste de invasão e suas etapas, assim como quais possibilidades de códigos maliciosos podem surgir nos sistemas computacionais. Na prática, é um desafio diário, contando cada dia uma novidade ou uma vulnerabilidade diferente, passiva de ser explorada. Sendo as- sim, convidamos você a descobrir um pouco mais sobre esse mundo de desafios e a adquirir ainda mais conhecimento sobre Pentesting e Código de Software Malicioso. Autoria Luciano dos Santos Viana É especialista em Segurança da Informação, Pentester e Forensic In- vestigator. Graduado em Sistemas de Informação pela Faculdade Anhanguera de Belo Horizonte (2012 - 2016). Edinilson da Silva Vida Éespecialista em Planejamento, Implementação e Gestão da Educa- ção à Distância pela Universidade Federal Fluminense – UFF (2019) e em Engenharia de Software pelo Centro Universitário de Patos de Minas – UNIPAM (2013). É graduado em Sistemas de Informação também pelo UNIPAM (2010). Atua na área de TI há mais de 10 anos, com destaque para o suporte a sistemas e infraestrutura de TI, segurança da informação, manu- tenção e desenvolvimento de websites e aplicativos para disposi- tivos móveis, análise e especificação de requisitos, modelagem de dados e de diagramas UML e contagem de pontos de função. Além disso, ele também atua como professor, tutor e conteudista de cursos de graduação e pós-graduação em diversas instituições de ensino superior, nas modalidades presencial e educação a distância. Curriculo Lattes Curriculo Lattes Organizadora Aline Ferreira Barbosa É Doutoranda em Engenharia da Computação pela Universidade de Pernambuco (2019-2023), Mestre em Engenharia da Computação pela Universidade de Pernambuco (2019) e Graduada em Licencia- tura em Computação pela Universidade de Pernambuco (2014). Atuou como Diretora Presidente na empresa TEC Jr (Tecnologia, Educação e Consultoria Júnior) - empresa júnior do curso de Licen- ciatura em Computação vinculada a Universidade de Pernambuco. Tem artigos científicos em eventos brasileiros importantes na sua área de pesquisa, tais como SBGames, WIE, WEI, SQBS, WER. Possui experiência em lecionar diferentes disciplinas na área de computação, tais como: Programação, Segurança em Redes de Computadores, Engenharia de Requisito, Engenharia de Software e Gestão de Projetos de Software. Curriculo Lattes UN ID AD E 1 Pentesting e Software de Código Malicioso Objetivos 1. Apresentar os conceitos básicos de segurança da informação. 2. Introduzir os tipos e processos de teste de invasão. 3. Introduzir conceitos sobre crimes cibernéticos. 12 Introdução Olá, caro(a) aluno(a)! Sabemos que a demanda de informações cresce a cada dia, a exem- plo das empresas que necessitam adotar sistemas de informações, seja para auxiliar a gerência dos negócios, seja para o assessora- mento durante a tomada de decisões. Isso confirma o fato de que a informação armazenada é um dos ativos fundamentais para qual- quer empresa. Por conseguinte, o que gera um fator decisivo para o êxito de qualquer negócio é o desenvolvimento de um conjunto de práticas em relação à proteção e à correta administração dos siste- mas que armazenam essas informações. Nesse sentido, podemos ver que a implementação de um con- junto adequado de estratégias de segurança pode contribuir para evitar maiores impactos e danos às organizações ou até mesmo para a garantia de proteção de dados pessoais. Especificamente, o pro- fissional desta área, o qual deve conhecer os conceitos de segurança digital e os mecanismos técnicos e de gerenciamento para proteção da informação. Um programa de segurança pode ter diversos objetivos, mas os princípios mais importantes em todos eles são a confiabilidade, a integridade e a disponibilidade. Sendo assim, abordaremos, neste material, esses conceitos básicos e seus significados para um sis- tema de informação, como eles são providos por diferentes meca- nismos e como a ausência de estratégias de segurança pode afetar negativamente um ambiente. Porfim, iniciaremos uma explanação sobre as fases a serem consideradas em um teste de invasão. Preparado(a) para iniciar esta jornada de estudos? Vamos lá! 13 Conceitos básicos sobre segurança da informação Com a popularização da internet, o volume dos dados aumentou exponencialmente, necessitando cada vez mais de técnicas de dife- rentes tipos para o cuidado e a proteção dos fluxos e meios de arma- zenamento e acesso à informação. Segundo o autor Armando Kolbe Júnior, no livro Sistemas de segurança da informação na era do conhecimento (2017, p. 46), “as informações, além de darem suporte à tomada de decisões, atuam como um importante fator de motivação das equipes”. Diante dos benefícios que a informação rápida, correta e disponível pode pro- porcionar às organizações, é clara a necessidade de garantir que es- tas estejam protegidas. A computação e a internet foram precursoras deste alto cres- cimento em menos de 40 anos. A arquitetura de aplicativos mudou de um cenário centralizado, com informações locais, para aplica- ções acessadas diretamente pelos navegadores, armazenados em servidores com alto poder de processamento e disponibilidade. O aumento de armazenamento e integração de informações de diferentes fontes tem sido o desafio e o objeto de estudo dos pro- fissionais da área. A proteção da informação para um indivíduo ou uma organização exige estratégia, ferramentas e técnicas de con- trole de forma confiável, consistente e eficaz. Sendo assim, podemos dizer que a informação é o conjunto de dados que agrega valor para um indivíduo ou uma organização, com capacidade de armazenamento ou transferência, podendo ser utilizada pelo usuário para um objetivo específico. Já a segurança da informação trata de medidas que garan- tem a proteção efetiva, as quais devem estar claramente descritas na política global da organização, delineando as responsabilida- des de cada grau da hierarquia e o grau de delegação de autoridade. Segurança da informação, afinal, objetiva proteger os dados, com a finalidade de preservar os valores para uma organização ou um indivíduo. 14 Dimensões de um sistema de informação As dimensões de um sistema de informação estão relacionadas ao desenvolvimento de ações, para garantir confidencialidade, inte- gridade e disponibilidade, no intuito de assegurar a proteção das informações. Vamos detalhar melhor esses conceitos, que são os alicerces da se- gurança da informação, segundo Adriana Beal no livro Segurança da informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações, de 2008 (p. 17): A confidencialidade garante que somente pessoas autorizadas pos- sam acessar as informações. A integridade baseia-se em garantir que a informação não será al- terada após o seu armazenamento. E a disponibilidade garante que as informações estarão sempre dis- poníveis para as pessoas que possuem autorização de acesso a elas. Os sistemas de informação estão estruturados em três di- mensões: pessoas, tecnologia e organização. Veja no quadro 1, a seguir, a definição desses elementos. Quadro 1 - Dimensões de um sistema de informação Fonte: KOLBE JUNIOR, 2017, p. 46 (adaptado). É notório que a segurança da informação depende bastante da tecnologia para existir, mas devemos lembrar que esse é um pro- DEFINIÇÃO 15 cesso que não envolve somente equipamentos. Afinal, as máquinas precisam ser comandadas por pessoas e, além disso, todas as ações e operações são executadas por indivíduos. Ainda assim, alguns au- tores concordam que as pessoas são o “elo frágil” da segurança da informação, como é o caso de Adriana Beal (2008, p. 71) e Michele da Costa Galvão (2015, p. 99). Será que podemos concordar com esta afirmação? Bom, não é difícil conhecer alguém que, ao instalar algum programa no com- putador, acabou deixando-o infectado com algum vírus, ou que caiu em algum golpe e passou informações pessoais, como senhas, por telefone. Enfim, a verdade é que, quando analisamos falhas de se- gurança em ambientes com alta tecnologia, a falha humana nor- malmente está envolvida. Portanto, podemos afirmar que a segu- rança da informação deve se aplicar a todo ativo da organização. O conceito de ativo, segundo Michele da Costa Galvão (2015), com- preende qualquer parte que compõe a estrutura da organização ou que possui valor para ela, ou seja, qualquer componente, tecnológi- co ou humano, que auxilia em um ou mais procedimentos de negó- cio de uma organização. Assim, um ativo de informação constitui-se pela informação e to- das as coisas e seres que o auxiliam. Vulnerabilidade, ameaça e risco à segurança da informação Existem diversas vulnerabilidades ou pontos fracos de um ativo de informação que podem prejudicar ou dificultar, intencionalmen- te ou não, a disponibilidade, a confidencialidade ou a integridade, como as falhas no projeto, na implementação ou na configuração de determinado software ou do sistema operacional, causando ameaças DEFINIÇÃO 16 à segurança. Para dar continuidade, precisamos definir alguns conceitos mais detalhadamente. As ameaças são um ataque potencial a um ativo da informação, isto é, um agente externo que, aproveitando a vulnerabilidade, poderá quebrar um ou mais aspectos básicos da segurança da informação. O risco, por sua vez, denota as prováveis perdas, que têm possibilidade de decorrer desse contexto. Veja a seguir uma breve explicação sobre estes termos. Quadro 2 - Vulnerabilidade, ameaça e risco VULNERABILIDADE AMEAÇA RISCO Pontos fracos de um sistema, que podem servir de abertura pela qual um elemento externo acessa um ativo. O elemento externo propriamente dito, que explora as oportunidades oferecidas pela vulnerabilidade e, de modo intencional ou não, danifica ou prejudica o ativo. Perdas e danos potenciais, resultantes da interação da ameaça com a vulnerabilidade e, consequentemente, com o ativo. Fonte: o autor (2019). De acordo com Adriana Beal a ameaça pode ser definida como “um acontecimento acidental ou proposital causado por um agen- te, que pode afetar um ambiente, sistema ou ativo de informação” (2008, p. 14). Sendo assim, podemos pensar em ameaças de duas maneiras: • ameaças acidentais – nesse tipo, poderíamos incluir as falhas de hardware, desastres naturais, erros de programação; • ameaças propositais – podem ser entendidas por roubos, in- vasões, fraudes etc. As vulnerabilidades são pontos nos quais o sistema está sus- ceptível a ataques. Nesse contexto, podemos incluir as fragilidades e erros que o sistema possui. Quando nos referimos a sistema, pode 17 ser um erro no procedimento aplicado e até mesmo a configuração incorreta dos aplicativos de segurança, de maneira proposital ou não, gerando como resultado uma informação não confiável. Segundo o autor Maurício Rocha Lyra (2008), essas vulne- rabilidades poderão ser exploradas ou não, sendo possível que um ativo da informação apresente um ponto fraco, que nunca será efe- tivamente explorado. Alguns tipos de vulnerabilidades conhecidas, atualmente, são: físicas (a falta de recursos para lidar com possíveis incêndios no local, por exemplo); relacionadas a hardware ou software (erros durante a instalação); mídias (perda ou danificação de materiais); ou ainda humanas (compartilhamento de informações confiden- ciais, falta de treinamento, erros, roubo, vandalismo etc.). A todo o momento, o sistema de informação está sujeito a ris- cos, já que o tempo todo nos deparamos com novas vulnerabilidades e ameaças. A análise dos riscos é uma importante maneira de reali- zar o levantamento dessas ameaças, vulnerabilidades e impactos a que os ativos de informação estão sujeitos. A melhor forma de minimizar os riscos é cercar o ambiente de informação, elaborando e seguindo políticas de segurança. De- vemos lembrar que conseguir segurança absoluta é praticamente impossível, e que o investimento em segurança de informação tem um alto custo. Hoje, mais do quenunca, o sistema de informação está co- nectado a redes de telecomunicações, o que faz com que os sistemas de informação em diferentes lugares estejam interconectados. Por conseguinte, o risco de acesso não autorizado aumenta, ocorrendo abuso e/ou fraude em qualquer ponto de acesso. O ataque nada mais é do que o acesso ou uso não autorizado de um computador ou programa. É um evento decorrente da explo- ração de uma vulnerabilidade por uma ameaça, segundo Adriana Beal (2008). Há ataques que não interferem no conteúdo do recurso que foi atingido, o que denominamos ataque passivo – por exemplo, quando o ataque foi realizado apenas para a observação e conhe- cimento de informações. Contudo, quando esse ataque prejudica o 18 conteúdo e modifica, elimina ou gera informações falsas, ele é cha- mado de ataque ativo. Vamos tomar como exemplo o assunto das senhas. Quanto mais complicadas forem, mais difícil será a descoberta delas. Entre- tanto, se o responsável cria uma única senha para todos os sistemas, visando a facilitar a memorização, gera também uma vulnerabili- dade, que pode afetar todos os sistemas envolvidos. De tal modo, anotar a senha complexa em um papel faz com que a vulnerabili- dade continue existindo, já que outras pessoas podem ter acesso a esse papel. Durante o ciclo de vida da informação, ela pode passar por al- gumas situações de risco e até mesmo ameaças. O não cumprimento de determinados objetivos de segurança pode levar a sérias conse- quências para a organização. Demonstramos algumas relações en- tre objetivos de segurança e as respectivas consequências. Veja esta relação de causa/efeito no quadro a seguir. Quadro 3 - Objetivos de segurança da informação OBJETIVO DE SEGURANÇA CAUSA E CONSEQUÊNCIA Perda de confiabilidade Causa: divulgação das informa- ções de forma não autorizada. Consequências: comprometi- mento da credibilidade, emba- raço ou ação legal contra a or- ganização. 19 Perda de integridade Causa: modificações não auto- rizadas feitas de forma aciden- tal ou intencional. Além disso, a violação da integridade pode ser o primeiro passo para um ataque com sucesso à disponi- bilidade ou confidencialidade da informação. Consequências: imprecisão das informações; fraude; tomada de decisão errada; reduz a garantia da informação. Perda de disponibilidade Causa: se as informações não estiverem disponíveis para o usuário, a missão da organiza- ção pode ser afetada. Consequências: perda de pro- dutividade por parte dos usuá- rios; impedir que os usuários executem suas atividades nor- malmente. Fonte: STONEBURNER; GOGUEN; FERINGA, 2004, p. 25. (Adaptado). Identificar os riscos é importante para saber quais ameaças e/ou vulnerabilidades podem ser aplicadas nos sistemas de infor- mação envolvidos, e o impacto que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos. A resposta à prática da engenharia social nas empresas é o profissionalismo. De acordo com Edison Fontes (2006), quando te- mos consciência do valor da informação, temos o dever de protegê- -la adequadamente e agir conforme os procedimentos de seguran- ça. Por outro lado, também é uma obrigação da empresa preparar, por meio de reuniões, conferências e diferentes capacitações, para que seus funcionários se protejam dessa prática que, cada vez mais, 20 conta com pessoas especializadas. A engenharia social é uma das estratégias mais utilizadas por inva- sores, pois independe de tecnologias ou mecanismos computacio- nais avançados. A engenharia social é um conjunto de procedimen- tos e ações utilizados para adquirir informações de uma organização ou de uma pessoa por meio de contatos falsos sem o uso da força, do arrombamento físico ou de qualquer brutalidade, como afirma Edi- son Fontes no livro Segurança da informação: o usuário faz a diferença, de 2006. Os engenheiros sociais exploram a ingenuidade ou a ignorân- cia de usuários para obter informações confidenciais, como senhas, informações pessoais, tipos de equipamento de segurança utiliza- dos ou outros dados que podem comprometer a segurança da orga- nização. Edison Fontes (2006, p. 120) exemplifica a forma como os engenheiros sociais agem e buscam informações da organização usando as pessoas. Veja a seguir alguns comportamentos identifi- cáveis dos engenheiros sociais. • Falam com conhecimento: nesses casos, o invasor demonstra conhecimento sobre informações da empresa ou de atividades dela para tentar enganar e coletar informações sigilosas. • Adquirem a confiança do interlocutor: em alguns casos, o in- vasor contata a vítima várias vezes, tentando se aproximar e adquirir intimidade para, em seguida, coletar as informações que busca. • Prestam favores: nesses casos, o invasor, quando pretende algo, mostra-se prestativo em situações de dificuldade da ví- tima ou simula alguma dificuldade para oferecer ajuda. Nessa forma de ameaça, é muito comum o uso do telefone e, nessas CURIOSIDADE 21 situações, uma forma de prevenção é confirmar o interlocutor ou evitar repassar informações sem ter a certeza com quem se está falando. Visão geral sobre testes de invasão Sabemos que a tecnologia vem avançando diariamente: carros au- tônomos, IoT, smartphones, dentre outros, e juntamente à evolu- ção da tecnologia vêm as falhas e as vulnerabilidades. Não é segredo nenhum que sistemas são passíveis a falhas. Diariamente vemos zero-days e novas CVEs sobre falhas encontra- das; nada está completamente seguro, mas as organizações não sabem disso ou simplesmente não buscam conhecer o quão falhas suas redes e sistemas estão quanto à segurança da informação. Zero-days são vulnerabilidades recém encontradas por crimi- nosos virtuais e que são exploradas antes mesmo que os antivírus ou fabricantes de softwares possam ter conhecimento e desenvolver alguma correção para a respectiva vulnerabilidade. CVE ou Common Vulnerabilities and Exposures é uma base de dados de vulnerabilidades contendo seu respectivo número de iden- tificação, descrição e referência pública para essas vulnerabilidades de segurança da informação, deixando-as publicamente conheci- das. As entradas CVE são usadas em várias ferramentas e serviços de segurança cibernética de todo o mundo. Recursos mal configurados, usuários com permissões des- necessárias, senhas fracas, falta de atualização de softwares e redes desprotegidas são as principais portas de entrada que permitem que atacantes capturem dados sigilosos e importantes. Além de tudo, ainda existe o fator humano. Todo ser humano é passível a falhas, a confiar demais ou a ser facilmente enganado por criminosos, que conseguem ganhar vantagem em cima de tais falhas, utilizando-se ou não da engenharia social. Para muitas empresas, o simples fato de ter um antivírus ou um firewall é motivo de segurança, mas, às vezes, a segurança de tais corporações é somente um sentimento, enquanto na prática são facilmente reconhecidas como alvo. 22 Diariamente vemos notícias de roubos de dados, ataques e mais ataques de várias formas em endpoints e servidores, onde cri- minosos conseguem roubar tudo, ou então deixar endpoints e ser- vidores ilegíveis a fim de exigir resgate pelos dados (desde arqui- vos pessoais, senhas e informações financeiras até bancos de dados completos). Não importa o quanto a equipe de segurança da infor- mação se empenhe para combater tais incidentes, eles ainda acon- tecem diariamente. Tendo isso como base, trazemos neste material uma visão geral de um teste de invasão, como funciona e o objetivo. O teste de invasão é um serviço legalizado, extremamente necessário para empresas que precisam proteger dados críticos, e se utiliza de uma série de operações automatizadas e manuais, além de, geralmente, ter como alvo servidores, endpoints de rede, redes wireless, dispositivos móveis, webservices, bem como outras áreas de exposição como aplicações e códigos. Michele Galvão (2015, p. 20) conceitua como hacker qualquerpes- soa capaz de acessar, criar ou modificar sistemas, a fim de inserir novas funções ou alterar antigas. Mas, na literatura, o termo denota um programador habilidoso que usa da sua desenvoltura para pro- teger e ampliar as barreiras de proteção da segurança da informação nas organizações. Para tanto, pode-se fazer uma reflexão sobre a pessoa hu- mana capaz de executar e desenvolver os códigos maliciosos, pois a máquina precisa ser comandada. Nessa linha, essa pessoa é cha- mada de cracker, termo usado para designar o indivíduo que pratica a quebra de um sistema de segurança de forma ilegal ou sem ética. Veja no quadro 4 algumas diferenças entre hacker e cracker. DEFINIÇÃO 23 Quadro 4 - Hacker e cracker HACKER CRACKER Especialista em computação que lança mão de seu conhecimento técnico para resolver problemas. Pessoa que, ilegalmente, acessa o computador ou a rede de outra pessoa ou de uma organização. Seu objetivo é violar a segurança do computador. Não prejudica os dados intencionalmente. Prejudica os dados intencionalmente. Fonte: o autor (2019). O teste de invasão é responsável pela detecção minuciosa por meio de técnicas de hackers éticos contratados para realizá-la sem o intuito de prejudicar a empresa ou praticar roubo de informações. O hacker ético é o profissional legalmente responsável pela execução dos testes de invasão. Tem como objetivo analisar minuciosamente a segurança de uma corporação ou determinado sistema, buscando falhas e vulnerabilidades com o intuito de explorá-las e apresentá- -las como forma de relatório aos gestores para que possam corrigi- -las mais rapidamente. As falhas encontradas podem ser desde um sistema opera- cional desatualizado até uma grande falha em um banco de dados. Existem três tipos de teste de invasão, os quais veremos a seguir. Black Box O Black Box é o mais completo e difícil. Nesse teste, o atacante con- tratado não tem informação nenhuma da corporação que vai atacar, seja interna ou externamente. Vemos que, em ataques reais, o hacker não possui todas as informações referentes à infraestrutura do alvo. Por isso, ele vai utilizar uma série de medidas diferentes para encontrar as fraque- zas e vulnerabilidades, explorá-las e conseguir acesso aos dados e informações. Ou seja, nesse tipo de serviço nenhuma informação 24 é passada sobre procedimentos internos, dados de rede, usuários ou senhas e, como resultado, leva mais tempo para ser executado e mais custo, uma vez que exige mais esforço do atacante. O benefício é que a empresa adquire uma visão mais próxima possível de como um verdadeiro criminoso enxerga a empresa e quais falhas ele pode efetivamente se aproveitar e explorar. O Black Box é indicado para empresas que possuem uma segu- rança madura, uma equipe de segurança da informação preparada e capacitada para agir em caso de um incidente desse grau. Isto é, bem consolidada, com processos, equipe e tecnologias em sintonia. Esse tipo de teste auxilia na identificação de fraquezas e vulnerabi- lidades, que ainda existem na rede, complementando a segurança e, de fato, colocando-a à prova para melhoria contínua da gestão e dos processos. Gray Box O teste Gray Box é uma combinação do Black Box com o White Box. Nesse teste, o atacante tem um conhecimento limitado da infraes- trutura interna ou externa do cliente, seja apenas um host, IP ou um serviço que roda ali dentro. Esse tipo de teste pode reduzir o tempo do atacante e até mesmo o custo do processo. O Gray Box pode ser bastante útil quando a corporação deseja ter um conhecimento real de como um atacante visualiza determi- nadas partes da infraestrutura. White Box No teste White Box, o atacante possui todas as informações referentes ao alvo, seja internamente ou externamente. Esse teste é indicado para empresas que estão em processo de conclusão de infraestrutu- ra de segurança da informação, visto que falhas e vulnerabilidades são mais bem identificadas para que as correções possam ser ainda mais rápidas e, ao concluir, a infraestrutura esteja mais segura com suas soluções atualizadas e suas falhas corrigidas. 25 O White Box é um teste mais rápido e de menor agressividade, demanda menos tempo e pode sair mais barato para as corporações. Esse serviço pode ser comparado com a análise de vulnerabilidade, porém de uma forma mais completa. Além dos tipos de testes, existem, ainda, as fases de um teste de invasão, que você conhecerá em outra oportunidade de estudos. Hacking Ético Quando falamos em hacking ético, frisamos no ético. Ser ético é quando algo segue um padrão específico, politicamente correto, ou seja, segue regras rigidamente. Tudo que o hacker ético faz está dentro desse conjunto de regras e, como tudo em nossa vida existe ética, no hacking não é diferente. No entanto, quando mencionamos a palavra “hacker”, ainda não se tem uma boa visão. Existem dois tipos de hackers: os black hat, que são os responsáveis por roubar dados, tirar serviços do ar, levar vantagens em cima de tudo, além de buscar novas falhas para cada vez prejudicar mais pessoas; e os white hat, que são os éticos, responsáveis por fazer uma análise de vulnerabilidade, teste de invasão e cuidar da proteção de uma em- presa. Como forma de observação, deixamos aqui explicado que os termos coloristas black e white, apesar de mundialmente reconhecidos, res- pectivamente, para distinguir uma atitude não ética de uma atitude ética, não devem ser lidos, aqui, como nomenclaturas racistas e/ou separatistas. IMPORTANTE 26 Conhecimentos de um hacker O hacker é um profissional extremamente inteligente, que deve ser capaz de resolver problemas e saber tudo sobre sistemas operacio- nais, tais como Linux e Windows, que são os sistemas mais usados atualmente. Sistemas operacionais são aqueles programas que têm como função fazer uma interface de comunicação amigável entre nós e toda a parte física do computador. Não existe sistema operacional melhor ou pior, existe o que você se adapta melhor. No caso dos hac- kers, o sistema operacional mais usado é o Linux. Existem várias dis- tribuições Linux, mas os hackers procuram sempre as que, de ante- mão, vêm com ferramentas nativas para serem usadas, reduzindo, assim, não só o tempo na instalação de ferramentas, mas também os testes de funcionalidade etc. Um dos mais famosos entre os hac- kers é o Kali Linux, referência em ferramentas para anonimato, pré e pós exploração, elevação de usuário, além de vários exploits. O Kali Linux é chamado de a distro dos hackers por conta do seu público-alvo serem profissionais de segurança da informação ou simpatizantes, que constantemente estão testando sistemas de segurança e redes para aprimorá-los e deixá-los, cada vez mais, se- guros. Basicamente estão hackeando serviços, sistemas operacio- nais ou até mesmo sites, usando ferramentas que, muitas vezes, o Kali disponibiliza por padrão em sua instalação, fazendo com que você gaste menos tempo instalando e configurando ferramentas do que as usando. Assim sendo, facilmente se alcança o ideal de pro- dutividade. Uma distribuição Linux (geralmente abreviada como distro) é um sistema operativo ou sistema operacional criado a partir de uma co- leção de softwares, com o uso do núcleo Linux, um sistema gestor de pacotes, e um repositório de programas. SAIBA MAIS 27 Além de sistemas operacionais, os hackers têm como habili- dade principal a programação, linguagens antigas ou novas como, por exemplo, C, C++, C#, PHP, Python, dentre outras, como lingua- gens que são usadas para fazer scripts ou exploits para explorar falhas e vulnerabilidades. Dentre as mais usadas estão o Python. O Python é uma lingua- gem muito usada no meio dos hackers, pois é possível desenvolver diversas coisas com ele, desde scripts até exploits robustos para ex- plorar vulnerabilidades encontradas. Os hackers também têm um amplo conhecimento em redes de computadores e seus protocolos TCP/IP. Protocolo funciona comose fosse uma linguagem. As máquinas, para se comunicarem em uma rede ou na internet, precisam usar a mesma linguagem. Quando dois ou mais computadores são interligados, seja por meio de cabos ou redes sem fio, só conseguem se comunicar se ambas estiverem usando o mesmo protocolo. O protocolo definido como protocolo padrão é o TCP/IP, que é usado no mundo pelo tráfego de redes in- ternas ou externas (internet). O TCP/IP não é somente um protoco- lo, é uma família, um grupo de protocolos, que foi desenvolvido na década de 60 pela DARPA (Defense Advanced Research Projects Agency) e foi especificado oficialmente em 1973. Os líderes do projeto foram Vinton Gray Cerf e Robert Elliot Kahn. O objetivo da DARPA foi criar uma rede onde computadores pudes- sem se comunicar, mas que fossem totalmente tolerantes a falhas. Caso algum dos seus servidores fosse atacado, a comunicação não poderia ser perdida, ou seja, se a comunicação entre servidores es- tava sendo feita por meio dessa linha, ela poderia ter um caminho alternativo para que a mensagem pudesse ser entregue. Em 1983, surgiu um modelo de comunicação chamado OSI (Open System Interconnection). Foi o modelo criado como referência CURIOSIDADE 28 para ser adotado por todas as empresas que fossem criar dispositi- vos de comunicação em geral. Quando o modelo OSI foi terminado, o modelo TCP/IP já havia ganhado espaço há aproximadamente 15 anos no mercado, sendo utilizado na maioria dos dispositivos. Por esse motivo, e com o grande crescimento do TCP/IP, o modelo OSI foi deixado para estudos. O modelo TCP/IP, por sua vez, passou a ser usado em todos os computadores e dispositivos que se conectam na rede. No exato momento em que clicamos em um link, um conjunto de informações é criado. Essas informações precisam de um veículo próprio para viajarem. O pacote IP, então, é preenchido, nomeado e colocado em seu caminho. As informações que não couberem no pa- cote são deixadas e colocadas em outro, e assim por diante, até que todas as informações saiam da sua origem até seu destino. O paco- te precisa ser etiquetado com as informações mais importantes. Ao serem montados, os pacotes passam da camada de aplicação para a camada de transporte e recebem um cabeçalho com as portas TCP/ UDP de origem e destino. Após receberem os dados da camada de transporte, são enca- minhados para a camada de rede, que receberá um outro cabeçalho. O IP de origem e destino, após neles inseridas essas informações, desce mais uma camada para a camada de enlace e ganha mais um cabeçalho de informações com o MAC Address de origem e destino. O pacote é enviado para a LAN, área local de trabalho. Nesta área estão conectados todos os roteadores e computadores locais para a troca de informações via cabo ou wireless. Entretanto, como em uma estrada, por mais controlada que seja, os acidentes podem aconte- cer. Por esse caminho trafegam os mais diferentes tipos de pacotes e realmente o tráfego é muito intenso. Desse modo, o roteador local identifica os pacotes com suas etiquetas e endereçamentos e faz a rota que ele deve seguir. Quando um pacote deixa o roteador em direção à internet, ele passa pelo roteador direcional que seleciona os pacotes que são en- viados com mais urgência e que, por sua vez, têm mais prioridade. Antes do pacote chegar ao seu destino, ele sai da sua placa de rede sendo entregue ou enviado para o próximo nível, o Proxy. 29 O Proxy é utilizado por algumas empresas para monitorar o que está sendo acessado na internet pelos seus funcionários, uma forma também de segurança. É um intermediário entre o usuário e o servidor, ou seja, ele recebe as informações passadas, mascara e repassa para o servidor e, nesse processo, mascara o seu número IP e cria uma impossibilidade de ser identificado, reduzindo, portan- to, a chance de um criminoso virtual ter acesso ao seu número de IP e, a partir daí, ter acesso à sua rede. Muitos criminosos virtuais usam esse recurso como uma forma de anonimato. Existem outros, como a VPN e o TOR, que têm o mesmo intuito. Eles utilizam servi- dores públicos de proxies para fazer esse mascaramento e dificultar a identificação e, assim, efetuar seus crimes. Lembrando que não é impossível identificar criminosos. Mesmo com Proxy, existem for- mas de fazer a identificação. Ao utilizar um proxy, existem grandes possibilidades de que sua navegação fique mais lenta. Há servidores públicos, como cita- do, que disponibilizam esses recursos gratuitamente, embora não garantam uma boa performance. Existem algumas ferramentas que são voltadas à segurança da informação. Pensando nelas, podemos citar o Web Filter, que determina o que pode ser acessado ou não. Com ele, todo o tráfego será armazenado como log e, depois, o proxy camufla o seu IP na hora que estiver acessando, conferindo maior proteção para a sua rede e para os seus dados. Atualmente, não é mais necessário fazer isso de forma ma- nual, já que existem ferramentas capazes de fazê-lo de forma auto- mática e com capacidade de integrar todas as funções em uma coisa só. Por exemplo, o Firewall Next Generation UTM que, além de ser um firewall de borda, ainda integra IPS, IDS e proxy para trazer a maior proteção para sua rede. O pacote possui vários tamanhos dependendo do seu conteú- do e, como consequência do seu trabalho, o proxy abre o pacote e lê todo o seu conteúdo e, dependendo do que encontra, o envia adian- te. Se existir um proxy com regras de bloqueio, ao abrir o conteúdo do pacote e o proxy identificar que o conteúdo que está ali dentro não foi autorizado pelos seus administradores, ele barra o pacote de ser entregue e o destrói, fazendo com que a rede se torne cada vez mais segura. No próximo passo, o pacote passa pelo firewall. Dentro dele, 30 há um controle de todas as portas de entradas e saídas, tanto da in- tranet quanto da internet. Quando o pacote sai do firewall, ele é colocado novamente na rota por um outro roteador até a entrega final. Esse roteador sele- ciona somente os pacotes que são enviados para um determinado destino e, eventualmente, alguns são ignorados e destruídos. Então, os pacotes principais serão enviados para o mundo da internet, onde roteadores e switches são responsáveis por fazer as interligações en- tre as estações. Não existe nenhuma proteção ou restrição onde tudo trafega sem controle e onde estão milhões de coisas trafegando e aguardando seu destino. Após os pacotes saírem da internet, eles chegam ao seu destino passando por outro firewall que, por sua vez, pode ser um grande aliado ou um grande muro onde suas informa- ções jamais poderão passar. O firewall é uma “parede de fogo” projetada para permitir acesso somente a quem respeita os controles e as especificações do que pode ou não sair de uma rede corporativa ou doméstica. Com o IoT e todas as automações utilizando a internet, vemos por várias vezes residências necessitando de firewall, não só para proteger a sua casa, mas também para proteção de conteúdo para a família. É um nicho de mercado que está muito pequeno, mas com grandes possibilidades de crescimento. É basicamente um controlador que vai especificar as possibi- lidades de entrada e saída de todas as requisições que sua rede, a sua empresa ou sua residência podem fazer e, com essa solução, você consegue controlar e definir o que pode ser feito e o que não pode. Um exemplo de aplicação do firewall: imagine um condomínio. Normalmente, em um condomínio, o porteiro fica responsável por quem pode ou não entrar e exigir suas identificações. No firewall não é diferente; os pacotes, ao chegarem dentro dele, são analisados e, se forem autorizados, podem entrar na rede. EXEMPLO 31 Existem alguns tipos de firewall, mas iremos citar dois, os principais e os mais comuns dentro das empresas ou das residên- cias. O primeiro é a filtragem de pacotes, que é responsável por fa- zer um controle básico das suas regras sobre o que se pode e o que não se podeacessar. Uma informação será apresentada, por meio de uma tabela básica, tanto ao endereço de entrada quanto ao endereço de saída. Algumas delas são estáticas, então você precisaria mudar essa configuração para que a tabela fique dinâmica ou, então, você precisaria de algo um pouco mais dinâmico e capaz de adaptar al- gumas situações. Por exemplo, liberar ou não um certo horário de acesso à internet ou algum tipo de conteúdo. Atualmente, os firewalls Next Generation UTM são mais dinâ- micos e capazes de fazer esse tipo de controle de uma forma mais inteligente. Como esse que estamos falando é um firewall mais sim- ples, pode ser facilmente encontrado no Windows ou em roteado- res com ele predefinido, mas lembrando: você não terá um controle muito fácil ou amplo na sua mão, pois você terá um serviço mais básico sem relatórios ou logs, que ajudam a fazer o monitoramento mais fácil e ter uma correção mais assertiva. Um segundo tipo é o firewall de aplicação que às vezes está dentro ou é o próprio firewall de rede. Além de ser o responsável por fazer um controle mais aprofundado de todos os recursos que você vai precisar, ele também fará uma análise mais minuciosa dentro de sua rede e de todos os controles que você precisaria fazer para den- tro de uma rede interna, como a rede de uma empresa. Um exemplo é a análise de logs de acesso ou conexão. Esse tipo de firewall dá essa possibilidade. Não é simplesmente um firewall que você fala o que pode entrar ou o que pode sair, é um firewall mais completo com muito mais recursos. Nesse caso, você precisa de uma máquina ex- clusiva, mais potente e que será a responsável por fazer essa pro- teção. Não pode ser um simples roteador, levando em consideração que você vai precisar de muito mais recursos para que seja feito todo um gerenciamento de informações passadas por essa rede, pois tudo o que os seus usuários fazem, e que fazem parte dessa rede, vai precisar passar por esse firewall de controle. Dentro de um firewall, os pacotes passam de um a um sen- do minunciosamente checados e os pacotes não autorizados para a 32 entrada são destruídos como, por exemplo, o pacote ICMP ou Ping. Os firewalls contam com uma proteção para bloquear o ICMP. Quan- do o pacote chega ao firewall de destino e não tem essa permissão, ele é automaticamente destruído. Já os pacotes que têm autorização são encaminhados para a rede de destino sendo recebidos, um a um, abertos, descompactados e entregues para o cliente. Sabemos, portanto, que diariamente ocorrem ataques por criminosos virtuais e que esses ataques são os responsáveis por em- presas perderem diariamente muito dinheiro. Muitas vezes, empre- sas que passaram por algum tipo de ataque hacker demoram muito tempo para se recuperar e, quando se recuperam, muitas outras empresas simplesmente fecham as portas após um ataque concluí- do. Mas, afinal, que tipo de ataques são esses? Citaremos a seguir alguns tipos de ataques mais comuns que os cibercriminosos utili- zam em busca de conseguir algum arquivo importante ou usuários e senhas. DDoS O ataque DDoS tem como objetivo sobrecarregar toda a infraestru- tura de rede, recursos de memória ou processamento de um ser- vidor ou serviço com o intuito de deixá-lo indisponível a ponto de ninguém conseguir acesso. Nesse sentido, o principal foco desse ataque não é roubar informações ou sequestrar dados, e sim deixar servidores inteiros offline e causar grandes problemas para a equipe de TI. O modo de ação de cibercriminosos consiste em um compu- tador chamado “computador mestre”, que dispara um “gatilho” para milhões de computadores zumbis e esses zumbis, por sua vez, são responsáveis por enviar uma tentativa de conexão para um host específico até que ele simplesmente saia do ar. Man-in-the-middle O ataque MITM consiste em adquirir dados. Todos sabem que o que os criminosos virtuais mais procuram são dados e, com o ataque 33 MITM, não é difícil consegui-los. Todos estamos conectados a um roteador com nossos smartphones ou até mesmo notebooks, trafe- gando milhões de pacotes em uma rede wi-fi. Assim, o ataque MITM é utilizado junto a esses roteadores. O atacante fica analisando tráfego a tráfego dentro de um determinado roteador que consegue acesso e, consequentemente, tudo que passa por lá ele consegue ver: quando passam informa- ções importantes, ele captura. Você acha que conversa de WhatsApp é segura e criptografada? Pois bem, se o atacante capturar a chave de criptografia de ambas as pontas, a conversa pode ser facilmente lida. Portanto, cuidado ao utilizar uma conexão em redes públicas, você poderá se surpreender. Sniffer O sniffer é o responsável por capturar pacotes dentro de uma rede, seja cabeada ou não. Pode ser comparado com o MITM, mas existem duas formas de utilizá-lo: • a forma ética – consiste em capturar os pacotes de uma rede com o intuito de ver o que se passa e identificar algum paco- te malicioso (existem dois programas muito usados que são o Wireshark e o TCPdump, muito usados para analisar o tráfego de rede; • a forma não ética – criminosos virtuais instalam um malware em um servidor e começam a capturar todos os pacotes saídos dele e a partir dessa ação, eles juntam informações sigilosas com o intuito de prejudicar uma empresa ou uma pessoa. 34 Figura 2 - Tela de sniffer TCPDump em execução Fonte: a autora (2022). Phishing Como na engenharia social os hackers usam a persuasão para conse- guir as informações que querem, com o phishing não é diferente. O phishing é normalmente usado como uma ferramenta de captura de dados e pode ser facilmente utilizado em parceria com a engenharia social. O atacante monta um site de um banco idêntico, disponibiliza na internet e sai enviando para vários e-mails contando que uma pessoa despreparada acesse e passe as informações que eles soli- citam. É muito fácil comprar uma televisão de 50 polegadas 4k por R$ 600,00, só que essa televisão nunca chegará e terão diversas compras no cartão de crédito que a vítima usou para fazer a compra. O phishing é mais comum do que as pessoas imaginam e diariamente várias pessoas são vítimas dele. Mas como posso me proteger desses ataques no meio corpo- rativo? Existe uma solução para isso? A resposta é sim! Existem di- versas ferramentas e soluções com o intuito de promover proteção para uma rede corporativa, desde um simples firewall até uma solu- ção extremamente robusta de honeypot. 35 Crimes cibernéticos Com frequência, vemos notícias de crimes pela internet, como, por exemplo, o vazamento de informações secretas. No Brasil, um caso que repercutiu ao longo da década de 2010, foi o que envolveu a ex-presidente Dilma Rousseff e a Agência Nacional de Seguran- ça (NSA, na sigla em inglês) dos Estados Unidos. Na ocasião, a NSA grampeou diversos números de telefones, entre eles o telefone via satélite Inmarsat, instalado no avião presidencial, com o qual a pre- sidente se comunicava com pessoas do mundo inteiro quando es- tava a bordo da aeronave. Esse foi um dos 29 números grampeados pela agência. Em relação aos crimes cibernéticos, há uma grande varieda- de. Veja a seguir alguns deles. • Falsidade ideológica: é um crime que vem se tornando cada vez mais frequente com o avanço da internet. As pessoas criam e-mails e redes sociais com fotos e nomes fictícios ou até mesmo nomes e fotos reais de outra pessoa, pois fica mais fácil cometer crimes sem ser identificado. • Acesso e uso ilegal de dados: consiste na permissão indevi- da de outros aos dados pessoais ou de uma instituição. Na in- tenção de dificultar o acesso de criminosos às organizações, é importante que os respectivos dados sejam liberados somente ao setor que necessita fazer seu uso. Por exemplo, a área de produção de uma organização deve ter acesso a itens de esto- que, como quantidade, composição, peso etc., mas não deve ter acesso aos preços de compra e aos nomes dos fornecedo- res. Dessas informações, somente o setorde compras poderá ter conhecimento. • Alteração e destruição de dados: consiste na manipulação de saldos em contas bancárias, resultados de provas, concursos, transferências indevidas de quantias de uma conta para outra etc. Um vírus pode também causar a destruição dos dados, in- viabilizando o funcionamento de alguns sistemas, ou, às ve- zes, o funcionamento dos próprios computadores. Um modo 36 de nos precavermos é realizar o que chamamos de backup, ou seja, uma cópia desses dados em outra mídia, como um CD/ DVD ou HD externo e guardá-los em um local seguro, pois, se houver a destruição do arquivo original, a organização poderá recuperá-los nessas outras fontes. • Conteúdo criminoso: com a expansão da internet, a criação de sites com conteúdo criminoso se transformou em um dos cri- mes cibernéticos mais cometidos. Os sites dedicados ao crime podem ser aqueles que vendem produtos e conteúdos ilegais, como drogas, pornografia infantil e armas, e os que oferecem programas ilegais, como o vírus, que pode destruir ou roubar dados, como vimos anteriormente. Nesse caso, comete crime tanto quem compra quanto quem repassa ou cria o programa. • Cópia ilegal de software: a pirataria ou cópia ilegal de software no mundo tecnológico consiste em copiar músicas, progra- mas e imagens sem o pagamento dos direitos autorais ao seu criador. O processo de pirataria funciona da seguinte forma – o “pirata” invade o servidor no qual o alvo a ser copiado se encontra, faz a cópia e negocia com terceiros. Essas cópias po- dem ser de músicas, software, vídeos, livros etc. Esse material é repassado para o mundo todo pela internet, e os comprado- res finais podem fazer o download. • Crime internacional: atualmente, com o avanço da tecnolo- gia e da internet, a distância entre países ficou bem menor. As fronteiras nessas áreas praticamente não existem. Em re- lação a isso, alguns países são mais tolerantes que outros em alguns aspectos, o que ajuda na ação criminosa, pois eles se aproveitam dessa diferença e distribuem suas atividades ile- gais de forma a confundir as autoridades nos processos legais, ocasionando, assim, um crime internacional. Os governos estão se ajudando para combater a pedofilia, criando leis em comum e em combate ao ciberterrorismo, isto é, o terrorismo pelo computador. Assim, os governantes trabalham para im- pedir que sites e e-mails disseminem conteúdos maliciosos e ameaças de sequestro e morte. 37 Diante desses acontecimentos, algumas estratégias devem ser tomadas para assegurar e proteger de ameaças à segurança da informação no ambiente interno e externo, seja em uma organiza- ção ou em casa. No ambiente interno, devem ser observados aspectos re- lacionados às vulnerabilidades; já no ambiente externo devem ser observados os diferentes fatores que geram incidentes de seguran- ça. A ameaça e a vulnerabilidade devem ser medidas e quantifica- das para uma prática de prevenção. Existe um conjunto de medidas preventivas que precisam ser adotadas, que incluem manter as ver- sões mais recentes dos programas, aplicando todas as atualizações disponíveis, e usar mecanismos de segurança, como o antimalware e o firewall pessoal. Há também cuidados a serem tomados na utili- zação dos computadores, por exemplo, atenção na hora de executar arquivos. Incidentes de segurança Os incidentes de segurança são eventos que podem causar uma in- terrupção no processo de negócio, em consequência da violação de algum dos aspectos de um sistema de informação. Eles podem, também, estar relacionados a outro fator, como os acidentes na- turais, greve ou outro fator. Um incidente de segurança, portanto, pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores. No Gráfico 1 são apresentadas as porcentagens relacionadas à quantidade de incidentes, por tipo de ataque, de janeiro a dezembro de 2018, reportados ao CERT – Centro de Estudos, Resposta e Trata- mento de Incidentes de Segurança no Brasil (CERT.br) e publicados em seu portal oficial em 2019. 38 Gráfico 1 - Incidentes reportados por tipo de ataque Fonte: CERT.br, 2019 (Adaptado). Junto ao gráfico 1, o CERT.br detalha algumas informações para melhorar a compreensão e a análise dos dados apresentados em relação à classificação dos tipos de ataque, das quais vale a pena destacar: • Worm – atividades maliciosas relacionadas ao processo auto- matizado de propagação de códigos maliciosos na rede; • dos (DoS – Denial of Service) – ataques em que o indivíduo ataca o sistema por um computador ou um conjunto de com- putadores para prejudicar a operação de um serviço, compu- tador ou rede; • invasão – um ataque que resulta no acesso não autorizado a um computador ou rede; • Web – visa ao comprometimento de servidores ou à desfigu- ração de páginas na internet; • scan – varreduras em redes de computadores com o intuito de identificar quais estão ativos e os serviços disponibilizados, podendo identificar potenciais alvos e explorar as possíveis 39 vulnerabilidades; • fraude – engloba as tentativas de fraudes, ou seja, incidentes em que ocorre uma tentativa de se obter vantagem; • outros – incidentes gerais que não se enquadram em nenhu- ma dessas categorias. Não devemos confundir scan com scam. Scams (com “m”) são quaisquer esquemas para enganar um usuário, geralmente com fi- nalidade de obter vantagens financeiras. Ataques deste tipo são en- quadrados na categoria fraude. Já no Gráfico 2 são apresentadas as porcentagens relaciona- das à quantidade de incidentes reportados ao CERT.br por tentativas de fraude, de janeiro a dezembro de 2018, e publicadas em seu portal em março de 2019. Gráfico 2 - Incidentes reportados por tentativas de fraudes Fonte: CERT.br, 2019 (Adaptado). O gráfico 3 apresenta o total mensal de incidentes reportados ao CERT.br, de janeiro a dezembro de 2018, e foram publicados em seu portal em março de 2019. 40 Gráfico 3 - Total mensal de incidentes reportados Fonte: CERT.br, 2019 (Adaptado). No quadro 5 é apresentado um resumo comparativo das prin- cipais características que diferenciam códigos maliciosos, como forma de obtenção e de instalação, meios usados para propagação e ações maliciosas executadas nos equipamentos infectados. Res- salta-se, ainda, que esta classificação tem sofrido alterações devido ao aparecimento de novas variantes, as quais acabam incorporando características de outros códigos maliciosos. Quadro 5 - Resumo comparativo entre os códigos maliciosos 41 Fonte: CERT.br, 2012, p. 31. (Adaptado). Caro(a) aluno(a), Neste material, falamos sobre a segurança da informação, seu con- ceito e sua importância para proteger informações em organiza- ções, já que, como aprendemos, a informação é um ativo de grande valia para as organizações do mundo globalizado. Em seguida, abordamos o teste de invasão, a qual consiste em testar a segurança de uma determinada empresa ou sistema, passando por três tipos, sendo o Black Box o que consiste em uma análise completa e com uma proximidade maior de um ataque real, onde o atacante não tem informação nenhuma do ambiente; já o Gray Box consis- SINTETIZANDO 42 te em um ataque com alguma informação sobre o ambiente; e, por fim, o White Box, que consiste em um teste de invasão com todas as informações do ambiente. Além disso, vimos exemplos de crimes cibernéticos, como falsidade ideológica, acesso e uso ilegal de dados, alteração e destruição de dados, conteúdo criminoso, criação de programas e sites dedicados ao crime, pirataria de software, crime internacional e vírus de com- putador. Por fim, apresentamos alguns dados estatísticos relacionados aos incidentes de segurança, conforme exemplos disponibilizados pelo CERT – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br). UN ID AD E 2 Pentest: tipos, fases e ferramentas usadas Objetivos ◼ Abordaros tipos de pentest mais utilizados por pentesters. ◼ Apresentar de forma detalhada as fases de um pentest. ◼ Apresentar algumas ferramentas famosas no meio hacking normalmente usadas para o pentest. 44 Introdução Caro(a) aluno(a), Neste material, vamos abordar os conceitos fundamentais e deta- lhados sobre os diferentes tipos de pentest e suas respectivas fases. Inicialmente estudaremos sobre o tipo Black Box, também conhe- cido como “teste cego”, em que os pentesters não terão nenhuma informação sobre a estrutura de rede do contratante, atacando “às cegas”, como faria um criminoso sem nenhum conhecimento ou acesso prévio ao seu alvo. Em seguida, falaremos sobre o White Box, em que o pentester responsável tem pleno conhecimento da infraes- trutura interna do cliente, o que permite desenhar as estratégias de ataque com antecedência. Conheceremos, também, o Gray Box, que mescla os dois métodos acima, isto é, a empresa contratada para testar tem acesso apenas parcial às informações da infraestrutura interna do contratante, antes do ataque. Após decidir o tipo de pentest a ser aplicado, seja White Box, Gray Box ou Black Box, devemos entender e definir fases dos ataques. As fases de um pentest são: reconhecimento, enumeração, escanea- mento, análise de vulnerabilidade, exploração e pós-exploração. Vamos ver cada uma dessas fases em detalhes, além de conhecer um conjunto de ferramentas possíveis para executá-las. Pronto(a) para continuar evoluindo seus conhecimentos nesta área fascinante? 45 Tipos de pentest Um pentest, coloquialmente conhecido como “teste de caneta”, é um ataque simulado, autorizado em sistemas ou redes de compu- tadores, realizado para avaliar a segurança do ambiente. O teste é realizado para identificar os pontos mais fracos, conhecidos como vulnerabilidades ou falhas, incluindo o potencial de pessoas não au- torizadas obterem acesso a recursos, dados ou informações de de- terminado sistema ou servidor. O processo normalmente identifica os sistemas de destino e um alvo específico, depois analisa as informações disponíveis e rea- liza vários testes para atingir esse objetivo. Um pentest pode ajudar a determinar se um sistema é vulnerável a ataques e se suas defesas são suficientes. Os problemas de segurança da informação que forem desco- bertos pelo pentest devem ser relatados ao proprietário do sistema ou do servidor. Os relatórios de testes de invasão também podem avaliar possíveis impactos para a organização e sugerir contrame- didas para reduzir ou mitigar o risco. O pentest é reconhecido como um método para obter segu- rança em um sistema ou serviço dentro da infraestrutura de TI, tentando violar parte ou toda a segurança desse sistema e usando as mesmas ferramentas e técnicas que um criminoso virtual utiliza para roubar informações. Assim, as metas de um pentest podem variar de acordo com as vulnerabilidades ou falhas exploradas por um criminoso virtual e informadas ao cliente. Os pentests são um componente de uma auditoria de seguran- ça da informação de forma mais completa. Por exemplo, o Padrão de Segurança de Dados do Setor de Cartões de Pagamento necessita de um pentest em uma programação regular após alterações no sistema para verificar possíveis vulnerabilidades existentes ou alguma falha no desenvolvimento dessa modificação. Existem várias formas de colocar em prática um teste de in- vasão. A essa altura, você já sabe um pouco sobre esses testes, mas 46 vamos vê-los aqui de forma mais aprofundada, a seguir: Black Box É quando o atacante não tem conhecimento nenhum sobre o alvo que vai fazer o ataque. Esse tipo de teste é mais próximo de um ata- que real. Não são fornecidos com nenhum diagrama de arquitetura ou código-fonte que não esteja disponível publicamente. Um teste Black Box determina as vulnerabilidades em um sistema que são ex- ploráveis de fora da rede. Ou seja, significa que o pentest Black Box se baseia em uma análise dinâmica de programas e sistemas atualmente em execução na rede de destino. Um pentester que utiliza esse tipo de pentest deve estar familiarizado com ferramentas e metodologias de verificação automatizadas para testes de invasão manual. Os pentesters também precisam ser capazes de criar seu próprio mapa da rede de destino com base em suas observações, já que nenhum diagrama desse tipo é fornecido a eles. Esse tipo de teste é usado normalmente quando o cliente quer ter uma visão completa sobre se está seguro ou não, tendo essa vi- são de fora. O pentest Black Box avalia se a equipe de segurança está aplicando métodos de proteção para a rede e para as soluções da empresa. Na maioria das vezes, o pentest Black Box tem um nível de su- cesso muito grande, uma vez que simula ataques e técnicas de cri- minosos virtuais. White Box O próximo tipo é o pentest White Box, nomeado também como “teste de caixa clara”, caixa aberta, auxiliares e testes lógicos, é o contrá- rio do Black Box. Ele é utilizado quando o atacante tem conhecimen- to total do ambiente, hosts, range de IP, código-fonte, credenciais ou outras informações que podem ser úteis para que o atacante dê andamento em um pentest que, normalmente, ocorre de forma in- 47 terna. O principal desafio com o White Box é peneirar a enorme quantidade de dados disponíveis para identificar possíveis pontos de fraqueza, tornando-o o tipo de pentest mais demorado, depen- dendo do tamanho da rede ou sistema testado. Ao contrário dos pentesters Black Box ou Gray Box, os pentes- ters White Box são capazes de executar análise de código estático, familiarizando-se com analisadores de código-fonte, depuradores e ferramentas semelhantes, importantes para esse tipo de teste. No entanto, as ferramentas e técnicas de análise dinâmica também são importantes para esse teste, uma vez que a análise estática pode ig- norar as vulnerabilidades introduzidas pela configuração incorreta dos sistemas ou rede de destino. Esse tipo de pentest fornece uma avaliação abrangente de vul- nerabilidades internas e externas, tornando-se a melhor opção para o teste de cálculo. A relação próxima entre os pentesters White Box e os desenvolvedores fornece um alto nível de conhecimento do sis- tema, mas pode afetar os comportamentos do testador, já que eles operam com base em conhecimento não disponível para hackers. Existem várias maneiras de fazer White Box. Por exemplo, em uma empresa com locais específicos, com ou sem credenciais, ou com credenciais simples, pode-se testar até onde é possível ir. Um exemplo é com um usuário com perfil básico. O atacante, no pentest White Box, pode tentar analisar acessos e permissões, entre outros testes, para mitigar qualquer ataque interno, seja de hackers ou dos próprios funcionários com um pouco de conhecimento e que que- rem prejudicar a empresa. Gray Box É um teste em que o atacante tem um conhecimento parcial; ele não terá um conhecimento igual, como no White Box, ou nenhum conhe- cimento, como se fosse um Black Box. Um pentester que utiliza o tipo de pentest Gray Box terá os ní- veis de acesso e conhecimento de um usuário, potencialmente com 48 privilégios elevados em um sistema. Os pentesters Gray Box geral- mente têm algum conhecimento dos recursos internos de uma rede, potencialmente incluindo a documentação de design e arquitetura e uma conta interna à rede. Nesse tipo de pentest é fornecida uma avaliação mais focada e eficiente da segurança de uma rede, se comparada ao que o Black Box proporciona. Sendo assim, usando a documentação de design de uma rede, os pentesters podem concentrar seus esforços de avalia- ção nos sistemas com maior risco e valor desde o início, em vez de gastar tempo determinando essas informações por conta própria. Uma conta interna no sistema também permite testar a segurança dentro do perímetro endurecido e simula um invasor com acesso de longo prazo à rede. Nesse teste, o atacante tem como objetivo ganhar acesso ad- ministrativo e comprometeroutros ambientes dessa rede utilizando esse médio conhecimento a respeito da infraestrutura da empresa. Dos testes citados acima, ainda existem outros testes, como o teste externo e interno, que veremos a seguir Teste externo O teste externo é quando o atacante não necessita ficar den- tro da empresa; ele pode usar a internet para fazer esse teste e pode fazer de qualquer lugar em que estiver. Esse teste é muito importante quando é feito com o modelo Black Box, pois, a partir daí, ele tem exatamente a mesma visão que criminosos virtuais têm. Teste interno O teste interno é quando o atacante está alocado dentro do cliente, com todo acesso físico à rede do cliente. Nesse tipo de teste pode ocorrer White Box, Gray Box ou até mesmo Black Box. Um exem- plo do Black Box interno é quando a empresa fecha com o atacante um pentest interno e o atacante não tem nenhuma informação in- terna do cliente, então, é passado ao atacante um cabo de rede ou acesso Wi-Fi para que tente invadir utilizando as técnicas que co- nhece, sem que a empresa ceda nenhuma informação. 49 Fases do ataque O pentest, ou teste de invasão, é dividido em algumas fases que faci- litam e completam todo o processo para que, quando o atacante for fazer a documentação, seja mais fácil repassar ao cliente. As fases de um pentest são reconhecimento, enumeração, escaneamento, análise de vulnerabilidade, exploração e pós-ex- ploração. Antes de iniciar um pentest, é necessário que o cliente esteja ciente de todo o processo que será executado, para que não haja nenhuma falha de comunicação entre as partes. É necessário conhecer os objetivos do negócio do cliente no que diz respeito ao teste de invasão, além de saber se esse é o primeiro teste de invasão, o que o levou a procurar esse serviço, quais as exposições que ele mais teme, se existe algum dispositivo frágil com o qual deveremos ter cuidado ao efetuar os testes, dentre outras coisas que são impor- tantes para o bom andamento de um pentest. Vamos conhecer, a seguir, quais são as fases do pentest. Reconhecimento A primeira fase com a qual o atacante vai se deparar ao iniciar um pentest é de reconhecimento, ou seja, o atacante assumiu um pentest do tipo Black Box e ele só tem uma URL ou um IP e, com isso, o ata- cante precisa iniciar o processo de reconhecimento, que nada mais é do que identificar possíveis pontos de entrada dentro desse am- biente. Então, uma vez que temos somente a URL ou o IP, o atacante irá analisar algumas informações e descobrir alguma forma de en- trar. Vamos dar um exemplo: o atacante entra no navegador, procu- ra um buscador de sua preferência e nele digita o nome da empresa. Nesse buscador irá aparecer alguns resultados referentes à procura e, normalmente, o site ou alguma URL que possa ser útil. Após conseguir achar alguma informação, o atacante busca algo importante nas páginas de internet, ou na análise de algum input dentro dessas páginas que, por ventura, possibilitem a inser- ção de dados, e-mails etc. 50 Outro ponto é o atacante analisar o código-fonte em caso de um ataque web. Você pode estar se perguntando: o que pode ter em um código-fonte HTML? No código-fonte o atacante, muitas ve- zes, consegue identificar outros diretórios, como determinado site é arquitetado, ou ainda comentários que podem dar alguma base/ informação mínima que pode ser muito útil para a execução desse pentest. Cada informação é de suma importância para o desenvolvi- mento de um pentest; cada informação, por menor que seja, pode ser muito útil no futuro. O Google se torna uma ferramenta de grande importância nessa fase do teste de invasão. O Google Hacking consiste em formas e técnicas diferentes de efetuar uma busca. O Google tem um recurso muito interessante chamado Google Hac- king ou Google Dorks, que são strings que o atacante consegue inserir na lista de buscados do Google e obter informações filtradas, como arquivos de bancos de dados, planilhas com senhas ou dados diver- sos. Caso você não tenha ideia de como fazer esse tipo de ação, existe um site com diversas dorks prontas, que é o Google Hacking Database, Basta acessar e utilizar. Nele, você pode fazer um filtro de acordo com suas necessidades, além de utilizar os dorks já prontos. SAIBA MAIS 51 Figura 1 - Dorks do Google Hacking Database Fonte: print do autor (2019). Outra forma de busca ou levantamento de informações tam- bém muito usada atualmente é o Whois, que é um comando do Linux que também faz o mesmo papel de trazer todas as informações ca- dastradas de um determinado site. Com o Whois, muitas vezes o atacante consegue descobrir, por exemplo, um bloco de IP de determinada rede, ou seja, se a rede tem um bloco de IP fixo exclusivamente para eles. Isso normalmente ocorre dentro de grandes empresas, pois estas, normalmente, pos- suidoras de uma infraestrutura madura, possuem um bloco de IP. Então, rodando o Whois no domínio, o atacante consegue descobrir esse bloco de rede e, talvez, fixar seu ataque naquele bloco em es- pecífico. Caso o invasor, com um domínio ou um IP, não consiga des- cobrir nada com o Google Hacking ou Whois, ele ainda precisa de um ponto de entrada para que consiga efetuar seu pentest; então as EXEMPLO 52 possibilidades são fazer o teste de DNS ou tentar descobrir subdo- mínios ou algum outro servidor atrelado a esse domínio alvo. Para isso, pode-se utilizar algumas ferramentas que já vêm no Kali Linux como: DNSenum, DNSrecon, DNSmap, entre outras diversas. Enumeração Após concluído o processo de varredura, o atacante possui a infor- mação de quantos dispositivos existem na rede e quantas portas estão abertas nesses dispositivos. O que o atacante ainda não sabe exatamente é qual serviço está rodando nesses dispositivos por trás dessas portas. Por exemplo, o atacante encontrou a porta 21 aberta, ou seja, um servidor FTP. Existem vários tipos de softwares que po- dem utilizar esse serviço de FTP, ou web. Nessa fase, o atacante irá fazer o levantamento e a identificação desses servidores, com suas respectivas versões. Nesse processo, o atacante consegue enumerar quantos usuários ou informações existem nesses sistemas ou servidores, ou seja, por meio da enumeração de recursos ou fingerprint, que se referem à identificação de serviços que estão rodando por trás. Até mesmo a identificação de vulnerabilidades, pois caso o atacante consiga identificar o serviço, ele deve encontrar as falhas existen- tes para aquele serviço, tanto de forma manual quanto usando fer- ramentas automatizadas com bancos de dados próprios e diversas informações cadastradas. Existem diversas ferramentas que podem ser usadas para esse fim, tanto ferramentas genéricas que buscam falhas em todos os tipos de serviços como ferramentas específicas que focam, por exemplo, em ambiente web, SSH, Telnet, SQLi, dentre outras, que fazem uma varredura mais detalhada e objetiva das falhas que que- rem buscar. Escaneamento Uma vez que já identificamos os hosts ou possíveis sistemas que o atacante vai atacar, a próxima fase é a do escaneamento, na qual o 53 atacante irá identificar as portas abertas ou serviços ativos dentro dos sistemas e dar prosseguimento ao pentest. Muitas vezes, quando um atacante vai fazer um escanea- mento de portas para descobrir os serviços e as portas ativas, ele se depara com algum controle ou bloqueio. Se o atacante tentar esca- near ou fazer uma varredura de portas em alguns servidores, pode ter certeza de que possivelmente irá ficar bloqueado se este servidor estiver com uma segurança bem projetada. Após identificar o alvo que será escaneado, o atacante irá se- lecionar algum scanner de portas para fazer essa varredura. Uma boa opção de scanner é o NMAP, que é um port scan com mais de 20 anos, lançado em 1997. Apesar de antigo, vem evoluindo com o passar do tempo. Para o Nmap, sempre são disponibilizadas diversas atualizações. Esse software ganhou diversos recursos, além da sua documentação
Compartilhar