Post on 09-Jun-2015
description
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Técnicas e Ferramental paraTestes de Invasão (PenTests)
Rafael Soares FerreiraClavis Segurança da Informaçãorafael@clavis.com.br
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
$ whoami
• CSO (Clavis & Green Hat)
• Pentester
• Investigador Forense
• Incident Handler
• Hacker Ético (CEHv6 – ecc943687)
• Instrutor e Palestrante
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Agenda
• Definição
• Preparação
• Testando Redes e Sistemas
• Testando Aplicações Web
• Ferramentas
• Dúvidas
• Próximos Eventos
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
● Testes de segurança
● Atividades técnicas controladas
● Simulações de ataques reais
Definição
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
● Avaliar riscos e vulnerabilidades
• Determinar eficácia de investimentos
• Conformidade
• Homologação
Definição
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
● Metodologia e Documentação
● Limitações e Ética
● Autorização documentada
Definição
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> OSSTMMOpen Source Security Testing Methodology Manual
>> NIST 800.42Guideline on Network Security Testing
>> OWASPOpen Web Application Security Project
>> ISSAFInformation Systems Security Assessment Framework
Definição
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
• Detalhes da Infraestrutura
• Acordo de confidencialidade (NDA)
• Equipamento e recursos necessários
• Acesso a testes anteriores
Preparação
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
● Objetivo/Propósito
● Alvos
● Profundidade
● Exclusões
Preparação
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> O que você sabe sobre o ambiente?
Blind (caixa preta)
Open (caixa branca)
>> O que o ambiente sabe sobre você?
Teste anunciado
Teste Não-anunciado
Preparação
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Ponto de Partida
● Ataques externos
● Ataques Internos
Preparação
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Tratamento de questões especiais
● Falha no sistema alvo
● Dados sensíveis encontrados
● Pontos de Contato
Preparação
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Limitações de Tempo
● Restrições de Horário
● Duração do Teste
Preparação
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
● Classificação de vulnerabilidades
● Identificação de circuitos de ataque
● Caminho de menor resistência
● Árvores de ataques
Vetores de Ataque
Preparação
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
●Engenharia Social
●Trashing (Dumpster Diving)
●Whois
●Entradas DNS
●Buscas na Internet
Testando Redes e Sistemas
Obtenção de Informações
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
●Wardriving
●Mapeamento de Redes
●Port Scan
●Vulnerabilidade
Testando Redes e Sistemas
Varreduras
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
● Sniffing
● DNS Cache Poisoning
● Exploits
● Quebra de Senha
● Negação de Serviço
Testando Redes e Sistemas
Invasão
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
● Escalada de Privilégios
● Manutenção de Acesso
● Cobrindo Rastros
Testando Redes e Sistemas
Pós-Invasão
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
• Não validação de dados externos
• Não tratamento de erros
• Falta de Canonicalização
• Verificações Client-Side
• Segurança por Obscuridade
Testando Aplicações Web
Principais Problemas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
• Dados não esperados (e não tratados!) enviados para um interpretador
• Interpretadores recebem strings e interpretam como comandos
• SQL, Shell, LDAP, etc...
• Injeção de SQL é disparado o mais comum!
• Impactos Catastróficos!
>> Injeções
Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
SELECT id FROM usuarios WHERE nome = '$nome' AND senha = '$senha';
<form method="post" action="http://SITE/login.php"><input name="nome" type="text" id="nome"><input name="senha" type="password" id="senha"></form>
Client-Side:
Server-Side:
>> Injeções - SQL
Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
' OR 'a'='a
SELECT id FROM usuarios WHERE nome = '$nome' AND senha = '' OR 'a'='a';
Client-Side: O Exploit!
Server-Side:
>> Injeções - SQL
Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
www.seginfo.com.br
Traduzida a partir da Tirinha “Exploits of a mom” do xkcd
>> Injeções - SQL
Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
• Dados enviados pelo usuário geram um comando que é passado ao sistema
• Exemplo: DNS lookup em domínios passados pelo usuário
• Exploit: clavis.com.br%20%3B%20/bin/ls%20-l
>> Injeções - SO
Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
• Dados maliciosos enviados ao browser do usuário
• Podem estar em posts, URLs, javascript, etc...
• Todo Browser é “vulnerável”: javascript:alert(document.cookie)
• Geralmente visa roubo (de sessão, de dados, ...) ou redirecionamento para sites maliciosos
>> Cross-Site Scripting (XSS)
Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> Cross-Site Scripting (XSS)
Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> Cross-Site Scripting (XSS) - Persistente
Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> Cross-Site Scripting (XSS) – Não Persistente
Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
• O protocolo HTTP é stateless
• SESSION ID usado para gerir a “sessão”
• A exposição do SESSION ID é tão perigosa quanto a de credenciais
• Outras possibilidades são: Reset e/ou lembrete de senha, Pergunta secreta, logout, etc...
• Possibilita o comprometimento de sessões
>> Gerência de Sessões e Autenticações
Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
• Não adianta esconder objetos
• Controle de Acesso em camada de apresentação não funciona!
• Force restrições server-side!
• Possibilita acesso a dados não autorizados
>> Referência Direta a Objetos Insegura
Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
• O browser da vítima é induzido à executar requisições
• Analogia: Um atacante se apodera de seu mouse e clica em links enquanto você usa seu internet banking
>> Cross Site Request Forgery (CSRF)
Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> Cross Site Request Forgery (CSRF)
Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
• A internet é pública e hostil!
• Dados podem ser (e serão!) capturados
• Utilize criptografia!
• Atacantes podem visualizar e/ou modificar informações em trânsito
>> Canal Inseguro
Testando Aplicações Web
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> Nmap
>> THC-Amap
>> Xprobe2
>> Unicornscan
Sondagem e Mapeamento
Ferramentas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> John The Ripper
>> THC-Hydra
Auditoria de Senhas
Ferramentas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> Wireshark
>> Tcpdump
>> Ettercap
>> Dsniff
Análise de Tráfego
Ferramentas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> Nessus
>> OpenVAS
>> SARA
>> QualysGuard
Análise de Vulnerabilidades
Ferramentas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> Nikto
>> Paros
>> Webscarab
Auditoria em Servidores Web
Ferramentas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> Kismet
>> Aircrack-ng
>> Netstumbler
>> Cowpatty
Auditoria em Redes sem Fio
Ferramentas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> Metasploit
>> SecurityForest
Exploração de Vulnerabilidades
Ferramentas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> Hping
>> Yersinia
>> Ida Pro
>> Ollydbg
Manipulação de pacotes e artefatos
Ferramentas
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
● Técnicas regem o ferramental
● A ética é muito importante (sempre!)
● “Grandes poderes trazem grandes
responsabilidades”
● Segurança deve ser pró-ativa
Conclusões
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Próximos Eventos
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Próximos Eventos
Data: 12 e 13 de agosto de 2011(sexta e sábado)
Local: Centro de Convenções da Bolsa de Valores do Rio de Janeiro.
www.seginfo.com.br
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Próximos Eventos
Profissionais renomados no cenário Nacional e Internacional
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Próximos Eventos
Jogos e Premiações!
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Dúvidas?
Perguntas?
Críticas?
Sugestões?
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Fim...
Muito Obrigado!
Rafael Soares Ferreira
rafael@clavis.com.br
@rafaelsferreira