Weitere ähnliche Inhalte Ähnlich wie Workshop Riosoft Auditoria Teste de Invasão(pentest) (20) Mehr von Clavis Segurança da Informação (16) Workshop Riosoft Auditoria Teste de Invasão(pentest)1. Técnicas e Ferramental para
Testes de Invasão (PenTests)
Rafael Soares Ferreira
Clavis Segurança da Informação
rafael@clavis.com.br
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
2. $ whoami
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
• CSO (Clavis & Green Hat)
• Pentester
• Investigador Forense
• Incident Handler
• Hacker Ético (CEHv6 – ecc943687)
• Instrutor e Palestrante
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
3. Agenda
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
• Definição
• Preparação
• Testando Redes e Sistemas
• Testando Aplicações Web
• Ferramentas
• Dúvidas
• Próximos Eventos
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
4. Definição
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
● Testes de segurança
● Atividades técnicas controladas
● Simulações de ataques reais
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
5. Definição
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
● Avaliar riscos e vulnerabilidades
• Determinar eficácia de investimentos
• Conformidade
• Homologação
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
6. Definição
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
● Metodologia e Documentação
● Limitações e Ética
● Autorização documentada
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
7. Definição
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> OSSTMM
Open Source Security Testing Methodology Manual
>> NIST 800.42
Guideline on Network Security Testing
>> OWASP
Open Web Application Security Project
>> ISSAF
Information Systems Security Assessment Framework
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
8. Preparação
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
• Detalhes da Infraestrutura
• Acordo de confidencialidade (NDA)
• Equipamento e recursos necessários
• Acesso a testes anteriores
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
9. Preparação
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
● Objetivo/Propósito
● Alvos
● Profundidade
● Exclusões
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
10. Preparação
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> O que você sabe sobre o ambiente?
Blind (caixa preta)
Open (caixa branca)
>> O que o ambiente sabe sobre você?
Teste anunciado
Teste Não-anunciado
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
11. Preparação
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Ponto de Partida
● Ataques externos
● Ataques Internos
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
12. Preparação
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Tratamento de questões especiais
● Falha no sistema alvo
● Dados sensíveis encontrados
● Pontos de Contato
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
13. Preparação
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Limitações de Tempo
● Restrições de Horário
● Duração do Teste
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
14. Preparação
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Vetores de Ataque
● Classificação de vulnerabilidades
● Identificação de circuitos de ataque
● Caminho de menor resistência
● Árvores de ataques
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
15. Testando Redes e Sistemas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Obtenção de Informações
● Engenharia Social
● Trashing (Dumpster Diving)
● Whois
● Entradas DNS
● Buscas na Internet
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
16. Testando Redes e Sistemas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Varreduras
● Wardriving
● Mapeamento de Redes
● Port Scan
● Vulnerabilidade
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
17. Testando Redes e Sistemas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Invasão
● Sniffing
● DNS Cache Poisoning
● Exploits
● Quebra de Senha
● Negação de Serviço
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
18. Testando Redes e Sistemas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Pós-Invasão
● Escalada de Privilégios
● Manutenção de Acesso
● Cobrindo Rastros
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
19. Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Problemas
• Não validação de dados externos
• Não tratamento de erros
• Falta de Canonicalização
• Verificações Client-Side
• Segurança por Obscuridade
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
20. Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Injeções
• Dados não esperados (e não tratados!) enviados
para um interpretador
• Interpretadores recebem strings e interpretam
como comandos
• SQL, Shell, LDAP, etc...
• Injeção de SQL é disparado o mais comum!
• Impactos Catastróficos!
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
21. Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Injeções - SQL
Client-Side:
<form method="post" action="http://SITE/login.php">
<input name="nome" type="text" id="nome">
<input name="senha" type="password" id="senha">
</form>
Server-Side:
SELECT id FROM usuarios
WHERE nome = '$nome'
AND senha = '$senha'
;
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
22. Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Injeções - SQL
Client-Side: O Exploit!
' OR 'a'='a
Server-Side:
SELECT id FROM usuarios
WHERE nome = '$nome'
AND senha = '' OR 'a'='a'
;
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
23. Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Injeções - SQL
www.seginfo.com.br
Traduzida a partir da Tirinha “Exploits of a mom” do xkcd
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
24. Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Injeções - SO
• Dados enviados pelo usuário geram um comando
que é passado ao sistema
• Exemplo: DNS lookup em domínios passados pelo
usuário
• Exploit: clavis.com.br%20%3B%20/bin/ls%20-l
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
25. Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Cross-Site Scripting (XSS)
• Dados maliciosos enviados ao browser do usuário
• Podem estar em posts, URLs, javascript, etc...
• Todo Browser é “vulnerável”:
javascript:alert(document.cookie)
• Geralmente visa roubo (de sessão, de dados, ...)
ou redirecionamento para sites maliciosos
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
26. Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Cross-Site Scripting (XSS)
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
27. Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Cross-Site Scripting (XSS) - Persistente
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
28. Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Cross-Site Scripting (XSS) – Não Persistente
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
29. Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Gerência de Sessões e Autenticações
• O protocolo HTTP é stateless
• SESSION ID usado para gerir a “sessão”
• A exposição do SESSION ID é tão perigosa
quanto a de credenciais
• Outras possibilidades são: Reset e/ou lembrete
de senha, Pergunta secreta, logout, etc...
• Possibilita o comprometimento de sessões
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
30. Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Referência Direta a Objetos Insegura
• Não adianta esconder objetos
• Controle de Acesso em camada de apresentação
não funciona!
• Force restrições server-side!
• Possibilita acesso a dados não autorizados
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
31. Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Cross Site Request Forgery (CSRF)
• O browser da vítima é induzido à executar
requisições
• Analogia: Um atacante se apodera de seu mouse
e clica em links enquanto você usa seu internet
banking
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
32. Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Cross Site Request Forgery (CSRF)
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
33. Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
>> Canal Inseguro
• A internet é pública e hostil!
• Dados podem ser (e serão!) capturados
• Utilize criptografia!
• Atacantes podem visualizar e/ou modificar
informações em trânsito
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
34. Ferramentas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Sondagem e Mapeamento
>> Nmap
>> THC-Amap
>> Xprobe2
>> Unicornscan
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
35. Ferramentas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Auditoria de Senhas
>> John The Ripper
>> THC-Hydra
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
36. Ferramentas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Análise de Tráfego
>> Wireshark
>> Tcpdump
>> Ettercap
>> Dsniff
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
37. Ferramentas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Análise de Vulnerabilidades
>> Nessus
>> OpenVAS
>> SARA
>> QualysGuard
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
38. Ferramentas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Auditoria em Servidores Web
>> Nikto
>> Paros
>> Webscarab
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
39. Ferramentas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Auditoria em Redes sem Fio
>> Kismet
>> Aircrack-ng
>> Netstumbler
>> Cowpatty
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
40. Ferramentas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Exploração de Vulnerabilidades
>> Metasploit
>> SecurityForest
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
41. Ferramentas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Manipulação de pacotes e artefatos
>> Hping
>> Yersinia
>> Ida Pro
>> Ollydbg
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
42. Conclusões
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
● Técnicas regem o ferramental
● A ética é muito importante (sempre!)
● “Grandes poderes trazem grandes
responsabilidades”
● Segurança deve ser pró-ativa
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
43. Próximos Eventos
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
44. Próximos Eventos
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Data: 12 e 13 de agosto de 2011(sexta e sábado)
Local: Centro de Convenções da Bolsa de Valores do
Rio de Janeiro.
www.seginfo.com.br
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
45. Próximos Eventos
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Profissionais renomados no cenário
Nacional e Internacional
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
46. Próximos Eventos
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Jogos e Premiações!
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
47. Dúvidas?
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Perguntas?
Críticas?
Sugestões?
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
48. Fim...
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Muito Obrigado!
Rafael Soares Ferreira
rafael@clavis.com.br
@rafaelsferreira
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.