No dia 1 de dezembro de 2011 Rafael Soares, Diretor Técnico do Grupo Clavis, palestrou sobre o tema "Técnicas e Ferramentas para Auditorias Testes de Invasão" na UNICARIOCA. Rafael abordou algumas das principais técnicas e ferramentas para realização de auditoria do tipo teste de invasão, tanto em redes e sistemas quanto em aplicações web. Uma série de estudos de casos relacionados com as atividades da auditoria tipo teste de invasão também foram apreciadas. Veja abaixo os slides da palestra apresentada na UNICARIOCA.
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
1. Técnicas e Ferramentas para
Auditorias Testes de Invasão
Rafael Soares Ferreira
Sócio Diretor
Clavis Segurança da Informação
rafael@clavis.com.br
2. $ whoami
• Sócio Diretor do Grupo Clavis
• Auditor de Segurança
• Instrutor e Palestrante
• Áreas de interesse:
Análise forense computacional;
Detecção e resposta a incidentes de segurança;
Testes de invasão em redes, sistemas e aplicações.
3. Conceitos
l Atividade técnica controlada
l Teste de segurança
l Simulação de ataques
Tentativas de obtenção de acesso não autorizado a ativos
l
de informação
4. Justificativa e Motivação
Avaliar os riscos e vulnerabilidades reais presentes no seu
l
negócio
• Determinar se os investimentos atuais estão realmente
detectando e prevenindo ataques
• Conformidade com normas internacionais
• Milestone para projetos entrarem ou não em produção
(“go live”)
5. PenTest X Ataque Real
l Metodologia
l Documentação
l Preocupação com o Cliente
l Limitações
l Autorização documentada
l Integridade
6. Planejamento e Preparação
l Detalhes da Infraestrutura
l Acordo de confidencialidade (NDA)
l Equipamento e recursos necessários
l Relatório de linha do tempo
l Acesso a testes anteriores
l Inspeção física
l Tratamento de questões especiais
l Limitações de Tempo
8. Tipos de Teste
>> O que você sabe sobre o ambiente?
Blind (caixa preta)
Open (caixa branca)
>> O que o ambiente sabe sobre você?
Teste anunciado
Teste Não-anunciado
9. Etapas de um PenTest
• Obtenção
de
Informações
e
Mapeamento
• Iden4ficação
de
Vulnerabilidades
• Análise
e
Exploração
10. Obtenção de Informações
e Mapeamento
Nmap
Iden4fica
hosts
vivos,
estado
de
portas,
serviços
e
sistemas
operacionais
Xprobe
Fingerprint
de
sistemas
operacionais
P0f
Iden4ficação
passiva
de
SO
11. Identificação de Vulnerabilidades
NESSUS
Professional
Edi4on
Iden4fica
Vulnerabildiades
em
sistemas,
serviçoes
e
aplicações.
QualysGuard
Iden4fica
vulnerabilidades,
correções
pendentes
e
existência
de
exploits
públicos
para
tais
vulnerabilidades.
12. Identificação de Vulnerabilidades
w3af
Verifica
a
possibilidade
de
execução
de
ataques
do
4po
injeção
de
SQL,
cross
site
scrip4ng
(XSS),
inclusão
de
arquivos
locais
e
remotos,
entre
outros.
Nikto
Verifica
a
existência
de
versões
desatualizadas,
problemas
em
versões
específicas
e
ítens
de
configuração
do
servidor.
13. Análise e Exploração
Metasploit
Framework
/
Express
/
Pro
Relaciona
Vulnerabilidades
descobertas
com
uma
base
de
exploits
e
faz
tenta4vas
de
invasão.
Sqlmap
Avalia
a
possibilidade
de
injeções
em
aplicações
e
uiliza
o
padrões
de
resposta
para
mapear
versões
de
banco.
14. Análise e Exploração
Webscarab
/
Paros
/
BurpSuite
Intercepta
requisições
para
manipular
campos
e
parâmetros
burlando
controles
client
side
e
forjando
requisições
inválidas.
LOIC
/
Hping
/T50
Fazem
ataques
de
Negação
de
Serviço
John
the
ripper
/
Hydra
Efetua
ataques
de
Força
Bruta
15. Análise e Exploração
Wireshark
/
TCPdump
/
Edercap
/
Dsniff
Verifica
se
é
possível
iden4ficar
e
obter
informações
sensíveis
através
da
manipulação
de
tráfego
de
rede
Aircrack-‐ng
/
Kismet
Avalia
exposição
de
dados
e
configurações
em
redes
sem
fio
16. Modelos e Referências
>> OWASP
Open Web Application Security Project
>> OSSTMM
Open Source Security Testing Methodology Manual
>> NIST 800.42
Guideline on Network Security Testing
>> ISSAF
Information Systems Security Assessment Framework