Prévia do material em texto
PenTest Curso: Superior de Tecnologia em Telemática Disciplina: Gerência e Segurança de Redes Discentes: João, Vitor e Sidney Prof. Luciano Martins Partindo do princípio • Segundo a NTA(2007), cerca de 90% dos websites organizacionais contêm pelo menos uma falha em seu sistema que permite que utilizadores clandestinos ganhem acesso ao sistema comprometendo a sua disponibilidade; • 87% dos websites têm vulnerabilidades de segurança consideradas de médio risco, 46% dos websites possuem vulnerabilidades de alto risco. 2 O que é o Pentest? • É a abreviação de Penetration Test(Teste de penetração), ou teste de intrusão; • A detecção minuciosa, com técnicas utilizadas por hacker éticos; • É o processo de identificar e explorar vulnerabilidades; • O PenTest é uma forma eficaz de determinar o risco real das vulnerabilidades, e consequentemente priorizá-las de forma correta; • Dessa forma, com a utilização dessa técnica específica os analistas terão a possibilidade de conhecer mais a fundo suas fraquezas e onde melhorá-las. 3 Aspectos importantes • Contrato com valor jurídico, especificando de forma clara os alvos, objetivos, tipos de ataques que podem ser realizados, prazo, limites, confidencialidade e autorização da organização; • A equipe de segurança não deve estar ciente da contratação do PenTest por uma equipe externa. 4 Porque realizar um Pentest? • Simulação real de ataque, que poderia ser um cracker, a fim de espionar e atacar a corporação; • O mundo atual gira em torno do dinheiro. Qual é um dos bens mais preciosos para gerar capital? 5 Processo de um pentest • Subdivide em atividades como: ► Coleta de informações sobre o sistema alvo; ► Escaneamento do sistema alvo e descoberta dos serviços; ► Identificação de sistemas e aplicações; ► Descoberta de vulnerabilidades; ► Exploração de vulnerabilidades. • Para uma empresa, esse processo é aplicado visando objetivos variados, como aumento da segurança dos sistemas. 6 Classificação de critérios do pentest • Base de informações: nível de conhecimento sobre a empresa antes da execução do Pentest; • Agressividade: nível de aprofundamento do teste, variando entre apenas identificar as vulnerabilidades até a exploração de todas as vulnerabilidades detectadas; • Escopo: define o escopo do Pentest, se é determinado para um ambiente, abrangente ou limitado; • Abordagem: trata o método de execução do Pentest quanto a geração de ruído no ambiente; • Técnica: quais as técnicas e metodologias usadas no Pentest; 7 Como o Pentest pode ser realizado • White box: PenTest mais completo, avaliação de toda a infraestrutura de rede. Possui informações essenciais da corporação. • Black Box: Quase como um teste às cegas, o PenTester possui acesso apenas a interface gráfica do sistema. Ele terá as mesma limitações impostas ao hacker. • Grey Box: Mesclagem dos dois anteriores, contendo apenas algumas informações específicas. Assim, demandará mais tempo e recursos para identificar tais vulnerabilidades e ameaças. 8 Como o PenTest pode ser realizado • 9 Tipos de Pentest • Teste em serviços de rede: são realizadas análises na infraestrutura de rede da corporação, em procura de fragilidades que podem ser solidificadas. Neste quesito, é avaliado a configuração do firewall, testes de filtragem stateful etc. • Teste em Aplicação Web: através desse teste de intrusão todas as análises são extremamente detalhada e vulnerabilidades são mais facilmente descobertas por basear-se na busca em aplicações web. • Teste de Client Side: neste tipo de teste, é possível explorar softwares, programas de criação de conteúdo e Web browsers (como Chrome, Firefox, Explorer etc) nos computadores dos usuários. 10 Tipos de Pentest • Teste em Rede Sem Fio: esse tipo de teste examina todas as redes sem fio utilizadas em uma instituição, assim como o próprio nome afirma. São feitos testes em protocolos de rede sem fio, pontos de acessos e credenciais administrativas. • Teste de Engenharia Social: são as práticas utilizadas para obter acesso a informações importantes os sigilosas em organizações os sistemas por meio da enganação ou exploração da confiança das pessoas. 11 Benefícios do teste de intrusão • Auxiliar empresas a testarem a capacidade de sua cibersegurança; • Descobrir fragilidades no sistema de segurança antes que um cibercriminoso o faça; • Zelar pela reputação da sua empresa; • Dar ao gestores de Segurança da Informação a experiência real de como lidar com um possível ataque; • Limitação de riscos de ataques; • Detectar falhas e criar barreiras que desencorajam e minimizem o impacto desse tipo de ação. 12 ● Padrão PTES (Penetration Testing Execution Standard) ● Foi criado para padronizar e facilitar o processo do teste, tanto para o testador como para o requisitante do serviço. Pentest padrões 13 Pentest Metodologia: ● Planejamento e preparação ● Avaliação ● Obtenção de informações ● Sondagem e mapeamento ● Identificação de vulnerabilidades ● Exploração ● Documentação e relatório ● Conclusões 14 Planejamento e preparação ● Decisão do tipo de teste que será feito. ● Levantamento de informações. ● Tipo de ataque que irá compor a simulação. ● Estabelecer prazos. 15 Obtenção de informações ● Modelar a árvore de ataque. ● Vascular a internet, mídias sociais através do máximo de informações disponível sobre o alvo. ● Coleta passiva. 16 Sondagem e mapeamento ● Identificação de hosts vivos, sistemas operacionais. ● Portas de serviço em execução. ● Mapeamento de rede. ● Identificação de rotas. Ferramentas: Nmap, Hping. 17 Identificação de vulnerabilidades ● Ausência no desrespeito a política de atualização de software. ● Ausência no desrespeito a política de senhas. ● Negligência na configuração de servidores. ● Exposição de informações. 18 Exploração ● Disparada dos ataques. ● Obtenção de acesso não autorizado com maior nível de privilégio possível. ● Confirmar a existência de vulnerabilidades. ● Documentar o caminho percorrido durante a exploração, avaliação do impacto e provas da vulnerabilidades. ● Escalar privilégios. ● Metodologia “para ou continua”. 19 Documentação e relatório ● Respeitar o cronograma. ● Documentar: erros, acertos. Relatório técnico. ● Introdução ● Coleta de informações ● Avaliação de vulnerabilidades ● Exploração de falhas/verificação de vulnerabilidades ● Pós - exploração de falhas ● Risco/exposição ● Conclusão 20 Ampliando Horizontes • Vídeo: https://www.youtube.com/watch?v=LNe-F9hp0Vg 21 Referências SOUSA, Allison. Pentest: o que é e quais são os principais tipos. Disponivel em: <www.ostec.blog/geral/pentest-conceito-tipos>. Acesso em: 20 nov. 2019. WEIDMAN, Georgia. Teste de invasão, uma introdução prática ao hacking. PIOVESANA, Rodrigo. Pentest. Disponivel em: https://pt.slideshare.net › rodrigo.piovesana › pentest-11.Acesso em : 10 dez. 2019. 22 https://pt.slideshare.net/rodrigo.piovesana/pentest-11 https://pt.slideshare.net/rodrigo.piovesana/pentest-11