Técnicas e Ferramentas para Auditorias Testes de Invasão
Rafael Soares Ferreira Sócio Diretor Clavis Segurança da Informação [email protected]
• Sócio Diretor do Grupo Clavis • Auditor de Segurança • Instrutor e Palestrante • Áreas de interesse: Análise forense computacional;
Detecção e resposta a incidentes de segurança;
Testes de invasão em redes, sistemas e aplicações.
$ whoami
Conceitos
l Atividade técnica controlada l Teste de segurança l Simulação de ataques l Tentativas de obtenção de acesso não autorizado a ativos de informação
Justificativa e Motivação
l Avaliar os riscos e vulnerabilidades reais presentes no seu negócio • Determinar se os investimentos atuais estão realmente detectando e prevenindo ataques • Conformidade com normas internacionais • Milestone para projetos entrarem ou não em produção (“go live”)
PenTest X Ataque Real
l Metodologia l Documentação
l Preocupação com o Cliente
l Limitações
l Autorização documentada
l Integridade
Planejamento e Preparação
l Detalhes da Infraestrutura l Acordo de confidencialidade (NDA)
l Equipamento e recursos necessários
l Relatório de linha do tempo
l Acesso a testes anteriores
l Inspeção física
l Tratamento de questões especiais
l Limitações de Tempo
Planejamento e Preparação
l Objetivo/Propósito l Alvos
l Profundidade
l Exclusões
Tipos de Teste
>> O que você sabe sobre o ambiente?
Blind (caixa preta)
Open (caixa branca) >> O que o ambiente sabe sobre você?
Teste anunciado
Teste Não-anunciado
Etapas de um PenTest
• Obtenção de Informações e Mapeamento
• Iden4ficação de Vulnerabilidades
• Análise e Exploração
Obtenção de Informações e Mapeamento
Nmap Iden4fica hosts vivos, estado de portas, serviços e sistemas operacionais Xprobe Fingerprint de sistemas operacionais P0f Iden4ficação passiva de SO
Identificação de Vulnerabilidades
NESSUS Professional Edi4on Iden4fica Vulnerabildiades em sistemas, serviçoes e aplicações. QualysGuard Iden4fica vulnerabilidades, correções pendentes e existência de exploits públicos para tais vulnerabilidades.
Identificação de Vulnerabilidades
w3af Verifica a possibilidade de execução de ataques do 4po injeção de SQL, cross site scrip4ng (XSS), inclusão de arquivos locais e remotos, entre outros. Nikto Verifica a existência de versões desatualizadas, problemas em versões específicas e ítens de configuração do servidor.
Análise e Exploração
Metasploit Framework / Express / Pro Relaciona Vulnerabilidades descobertas com uma base de exploits e faz tenta4vas de invasão. Sqlmap Avalia a possibilidade de injeções em aplicações e uiliza o padrões de resposta para mapear versões de banco.
Análise e Exploração
Webscarab / Paros / BurpSuite Intercepta requisições para manipular campos e parâmetros burlando controles client side e forjando requisições inválidas. LOIC / Hping /T50 Fazem ataques de Negação de Serviço John the ripper / Hydra Efetua ataques de Força Bruta
Análise e Exploração
Wireshark / TCPdump / Edercap / Dsniff Verifica se é possível iden4ficar e obter informações sensíveis através da manipulação de tráfego de rede Aircrack-‐ng / Kismet Avalia exposição de dados e configurações em redes sem fio
Modelos e Referências
>> OWASP Open Web Application Security Project >> OSSTMM Open Source Security Testing Methodology Manual >> NIST 800.42 Guideline on Network Security Testing >> ISSAF Information Systems Security Assessment Framework
Dúvidas?
Perguntas?
Críticas?
Sugestões?
Muito Obrigado!
@rafaelsferreira
Rafael Soares Ferreira Sócio Diretor Clavis Segurança da Informação
Top Related