Post on 24-May-2015
description
Por: Adilson Santos da Rochaasrocha.consultoria@gmail.com
PENETRATION TEST
O que é? Pra que serve? Porque comprar ?
Como vender? Como saber se foi bem Feito?
Simula uma série de ataques e MÉTODOS usados por “invasores” para ganhar acesso não autorizado a informações, redes, dados, sistemas e aplicações podendo comprometê-los
CONTROLADA
AUTORIZADA
PENTESTNDANDA
O QUE É ?
FOCO
Mail ServersWeb Servers
Routers
Black Box
Gray Box
White Box
Conhecimento do Alvo
PENTEST EXTERNO
Anunciado: A equipe de TI/Security é informada Não Anunciado: A equipe de TI Não é Informada
TIPOS DE PENTEST
FOCO
Servidores e DMZ
Controles eSeguimentação
Black Box
Gray Box
White Box
Conhecimento do Alvo
PENTEST INTERNO
Anunciado: A equipe de TI/Security é informada Não Anunciado: A equipe de TI Não é Informada
Privacidade Comunicação interna
“Realizado em Loco no Cliente”
TIPOS DE PENTEST
Produz uma AMPLA e APURADA avaliação sobre a segurança de aplicações WEB
Foco na Aplicação
WEB APLICATION PENTEST
FOCO
Black Box
Gray Box
White Box
Conhecimento do Alvo
Anunciado: A equipe de TI/Security é informada Não Anunciado: A equipe de Não é Informada
Parâmetros/Inputs
AutenticaçãoCriptografia
Sessões
Web ServersSeu Ecosistema
Controle Do Cliente
TIPOS DE PENTEST
WIRELESS PENTEST
FOCO
Dispositivos Criptografia
Alcance
Black Box
Gray Box
White Box
Conhecimento do Alvo
Anunciado: A equipe de TI/Security é informada Não Anunciado: A equipe de Não é Informada
AlcanceAutenticação
Usuários/Dispositivos
TIPOS DE PENTEST
BASEADA EM PADRÕES INTERNACIONAIS
ISSAF -Information Systems Security Assessment Framework
OSSTMM 3 – The Open Source Security Testing Methodology Manual
NIST-SP 800-42 - Guideline on Network Security Testing
OWASP - Open Web Application Security Project Testing Guide
METODOLOGIA
PENTEST REDES – INTERNO/EXTERNO/WIRELESS
2
EXECUÇÃO
1- Planejamento e Preparação
3 – Geração de Relatório, Apresentação, finalização
PENTESTMETODOLOGIA
Mapeandoa
Rede
Obtendo Informações
IdentificandoVulnerabilidades
ExplorandoVulnerabilidades
Ganhando acessoEscalando Privilégios
AnalisandoAdjacências
CobrindoRastros
Mantendo Acesso
ComprometendoSistemas
21
3
4
567
8
9
METODOLOGIA
WEB APPLICATION TESTING
Mapear o Conteúdo (spidering)
Testar mecanismosDe autenticação
Testar GerenciamentoDe Sessões
Testar Parâmetros de Entrada
Testes ControlesDo Cliente
Ajax, activeX, Flash
Teste de Lógica De Negócio
Avaliação De Riscos
Geração do relatório
Xss,xrfs sql injection
Buffer OverflowSession Hijacking
Tester
Usuário
METODOLOGIA
Encontre os buracos,antes que alguém os encontre
A melhor forma de se proteger é saber onde se é mais fraco. Sun Tzu
POR QUE ? FAZER UM PENTEST
Validar seus controles de Segurança
POR QUE ? FAZER UM PENTEST
Testar a Capacidade da equipe de TI perante a um ataque real ou vazamento de dados.
POR QUE ? FAZER UM PENTEST
A reabilitação normalmente Sai mais Caro que Investimentos em Mecanismos de Proteção
POR QUE ? FAZER UM PENTEST
Danos a Imagem da Empresa são imensuráveis
POR QUE ? FAZER UM PENTEST
Ajustes de recursos, estratégias e prioridades dos sistemas de informação da Empresa.
Decisões sobre planos de Continuidade do Negócio e Disaster Recover baseados em Fatos Reais.
POR QUE ? FAZER UM PENTEST
Homologação - Por em produção ambientes Seguro e com Baixo Risco
✔ Muitos testes de Softwares contemplam funcionalidades e estabilidades (não segurança)
✔ Erros encontrados Nesta fase São mais baratos e evitam Problemas graves no futuro.
POR QUE ? FAZER UM PENTEST
ROSI – RETORNO SOBRE INVESTIMENTO EM SEGURURANÇA DA INFORAÇÃO
✔ Concentra Investimento onde Realmente é necessário
✔ Base para Melhorar a eficiência da arquitetura existente
✔ Ajuda Melhorar Processos de Negócios
POR QUE ? FAZER UM PENTEST
Um Elemento essencial para Gerenciamento de Risco
✔ Pode ser o Ponto de Partida
✔ Validação/Métrica para Aceitação dos Riscos
✔ Ajuda Melhorar Processos de Negócios
POR QUE ? FAZER UM PENTEST
REQUISITO PARA CERTIFICAÇÃO E COMPLIANCE
POR QUE ? FAZER UM PENTEST
Escopo
O que será TestadoRanges/Aplicações etc
Quando: Janelas/Prazos
Engenharia Social
Tipos/Limites
NDA
Limites
Danos a Ativos
Ativos de Terceiros(colocation)
Plano deComunicação
A quem/Que tipo Informação
Meios de ComunicaçãoCriptografia/Senhas etc
Mantenha artefatos comerciais, contratos etc separados do NDA
NDA–Non-Disclosure Agreement
Iniciação
Objetivo/EscopoMetodologia
Classificação
RelatórioVulnerabilidades
Resumo Executivo
Conforme o caso dividir o relatório separando o resumo executivo do
relatório técnico detalhado.
Finalização
Recomendações Gerais/Específicas
Impácto/Risco
Complexidade
Principais Vuln/Hosts Afetados
VulnerabilidadesIgnoradas
Detalhe de cada VulnClassificação;Poc;Recomendações;
Evidências
Parecer com Críticas/Elogios
Conclusão
RELATÓRIO – O ENTREGÁVEL
FERRAMENTAS/INFRAESTRUTURA Depende do Tamanho da Equipe, Escopo, Tipos de Testes etc.
✔ Utilizar Links, redes, DC, etc – Isolados de Rede corporativa
✔ Não Utilizar os equipamentos onde Realizam-se os Testes como Desktop; ou outros fins.
✔ Ter Conta(s) em VPNs e proxys para anonimato. (http://vpnprivacy.com,UltraVPN,ItsHidden) vpns pagas são um bom investimento.
✔ Tor + Proxychains são seus amigos
✔ Equipes composta por pefis/especialidades diferentes (rede, Wireless,web, java, Desenvolvimento etc)
✔ Equipe Neutra (QA) Revisar e sugerir/criticar, melhorar relatórios, docs etc.
✔ Sempre antes de começar se atentar ao escopo e ao NDA. (Sempre contato com jurídico).
✔ Invista em Ferramentas, conhecimento, desenvolvimento.
FERRAMENTAS/INFRAESTRUTURA
SuperScan v4.0SuperScan v4.0
?http://www.facebook.com/adilson.rocha
@asrocha
http://br.linkedin.com/in/asrocha
asrocha.consultoria@gmail.com