Técnicas e Ferramentas para Auditorias Testes de Invasão

Rafael Soares Ferreira Sócio Diretor Clavis Segurança da Informação rafael@clavis.com.br

•  Sócio Diretor do Grupo Clavis •  Auditor de Segurança •  Instrutor e Palestrante •  Áreas de interesse: Análise forense computacional;

Detecção e resposta a incidentes de segurança;

Testes de invasão em redes, sistemas e aplicações.

$ whoami

Conceitos

l  Atividade técnica controlada l  Teste de segurança l  Simulação de ataques l  Tentativas de obtenção de acesso não autorizado a ativos de informação

Justificativa e Motivação

l  Avaliar os riscos e vulnerabilidades reais presentes no seu negócio • Determinar se os investimentos atuais estão realmente detectando e prevenindo ataques • Conformidade com normas internacionais • Milestone para projetos entrarem ou não em produção (“go live”)

PenTest X Ataque Real

l  Metodologia l  Documentação

l  Preocupação com o Cliente

l  Limitações

l  Autorização documentada

l  Integridade

Planejamento e Preparação

l  Detalhes da Infraestrutura l  Acordo de confidencialidade (NDA)

l  Equipamento e recursos necessários

l  Relatório de linha do tempo

l  Acesso a testes anteriores

l  Inspeção física

l  Tratamento de questões especiais

l  Limitações de Tempo

         

Planejamento e Preparação

l  Objetivo/Propósito l  Alvos

l  Profundidade

l  Exclusões

Tipos de Teste

>> O que você sabe sobre o ambiente?

Blind (caixa preta)

Open (caixa branca) >> O que o ambiente sabe sobre você?

Teste anunciado

Teste Não-anunciado

Etapas de um PenTest

•  Obtenção  de  Informações  e  Mapeamento  

•  Iden4ficação  de  Vulnerabilidades  

•  Análise  e  Exploração  

 

Obtenção de Informações e Mapeamento

Nmap  Iden4fica  hosts  vivos,  estado  de  portas,  serviços  e  sistemas  operacionais    Xprobe  Fingerprint  de  sistemas  operacionais    P0f  Iden4ficação  passiva  de  SO  

Identificação de Vulnerabilidades

NESSUS  Professional  Edi4on  Iden4fica  Vulnerabildiades  em  sistemas,  serviçoes  e  aplicações.    QualysGuard  Iden4fica  vulnerabilidades,  correções  pendentes  e  existência  de  exploits  públicos  para  tais  vulnerabilidades.  

Identificação de Vulnerabilidades

w3af  Verifica  a  possibilidade  de  execução  de  ataques  do  4po  injeção  de  SQL,  cross  site  scrip4ng  (XSS),  inclusão  de  arquivos  locais  e  remotos,  entre  outros.      Nikto  Verifica  a  existência  de  versões  desatualizadas,  problemas  em  versões  específicas  e  ítens  de  configuração  do  servidor.  

Análise e Exploração

Metasploit  Framework  /  Express  /  Pro  Relaciona  Vulnerabilidades  descobertas  com  uma  base  de  exploits  e  faz  tenta4vas  de  invasão.    Sqlmap  Avalia  a  possibilidade  de  injeções  em  aplicações  e  uiliza  o  padrões  de  resposta  para  mapear  versões  de  banco.  

Análise e Exploração

Webscarab  /  Paros  /  BurpSuite  Intercepta  requisições  para  manipular  campos  e  parâmetros  burlando  controles  client  side  e  forjando  requisições  inválidas.    LOIC  /  Hping  /T50  Fazem  ataques  de  Negação  de  Serviço    John  the  ripper  /  Hydra  Efetua  ataques  de  Força  Bruta  

Análise e Exploração

Wireshark  /  TCPdump  /  Edercap  /  Dsniff    Verifica  se  é  possível  iden4ficar  e  obter  informações  sensíveis  através  da  manipulação  de  tráfego  de  rede    Aircrack-­‐ng  /  Kismet  Avalia  exposição  de  dados  e  configurações  em  redes  sem  fio  

Modelos e Referências

>> OWASP Open Web Application Security Project >> OSSTMM Open Source Security Testing Methodology Manual >> NIST 800.42 Guideline on Network Security Testing >> ISSAF Information Systems Security Assessment Framework

Dúvidas?

Perguntas?

Críticas?

Sugestões?

Muito Obrigado!

rafael@clavis.com.br

@rafaelsferreira

Rafael Soares Ferreira Sócio Diretor Clavis Segurança da Informação