Este relatório descreve o estágio de um estudante de Ciência da Computação no Tribunal de Contas do Estado do Piauí, onde ele realizou um teste de penetração (pentesting) supervisionado para avaliar a segurança da infraestrutura de TI da organização. O relatório detalha as etapas do pentesting realizado, como reconhecimento, varredura, exploração de falhas e manutenção de acesso, com o objetivo de encontrar vulnerabilidades e sugerir contramedidas para fortalecer a segurança.
1. RELATORIO PARCIAL ESTÁGIO SUPERVISIONADO
Estágio de março a julho/2017
Tribunal de Contas do Estado do Piauí - TCE-PI
Projeto:Pentesting
Coordenadorde estágio:Weslley Emmanuel Martins Lima
Estagiário:Leandro Soares Neves
1. INTRODUÇÃO
O estágio supervisionado é uma disciplina onde o aluno de Ciência da Computação
deverá provar que é capaz de resolver um problema tecnológico e computacional real
baseado nos conhecimentos acumulados durante o curso. Fazendo um estudo formal do
problema, documentando, modelando e solucionando de forma profissional.
O professor apresenta propostas de projetos previamente estabelecidos a serem
executados no NTI (Núcleo de Tecnologia da informação) da UFPI, ou propõe que os
alunos que já estagiam em outras empresas desenvolvam alguma atividade de certo
nível de complexidade, e principalmente uma real contribuição em tais empresas.
O Pentesting se apresenta como um caminho prático e eficaz na auditoria da
infraestrutura de TI da empresa avaliada, incluindo seus sistemas, dispositivos e até seus
usuários (engenharia social). O grande objetivo dessa atividade não se limita apenas a
avaliação do ambiente, mas principalmente em fortalecê-lo sugerindo contramedidas a
possíveis vulnerabilidades, bem como demais medidas de segurança que detectem e
respondam em situações de intrusão.
Este projeto será desenvolvido por mim no Tribunal de Contas do Estado do Piauí,
observando cada uma das fases fundamentais de um teste de invasão e com total
supervisão por parte da equipe de Segurança e Redes do mesmo.
2. CRONOGRAMA DE ATIVIDADES
As tarefas para este período de atividades estão divididas em quatro etapas, sendo elas:
Etapa 1 - Entendimento do Domínio, modelagem do problema e proposta de solução;
Etapa 2 - Preparação do ambiente de ataque e suas ferramentas (definição das
ferramentas a serem usadas em cada etapa do Pentest);
Etapa 3 - Implementação de cada uma das fases do teste: Reconhecimento
(Reconaissance), Scanning, Exploração de Falhas (Exploitation), Preservação de Acesso
(Maintaining Access) e Geração de Relatório (Reporting);
Etapa 4 - Documentação do teste, contendo vulnerabilidades encontradas e
contramedidas.
3. ATIVIDADES DESENVOLVIDAS
3. 1. Iteração 1
Entendimento do domínio
• Estudo da Cultura Organizacional do órgão avaliado, verificando
infraestrutura de redes, sistemas, políticas de segurança, GPO’s, grupos do
Active Directory, métodos de autenticação dos usuários, protocolos e tudo mais
relacionado à TI do ambiente.
2. Modelagem do problema
• Falta de uma política de testes regulares no ambiente, que pode
desencadear em problemas futuros à segurança do ambiente.
Proposta de solução
• Será realizado um teste de penetração (Pentest – Penetration test)
de forma controlada e supervisionada pela equipe de TI do ambiente,
obedecendo às etapas básicas de um pentest e geração de relatório ao final dos
testes.
• Através dos resultados colhidos será possível encaminhar à
equipe vulnerabilidades encontradas e sugestão de soluções, bem como também
sugerir a adoção de novas medidas ou aperfeiçoamento das medidas já
implantadas no ambiente.