Segurança da Informação

Tópico 35 – Sistemas de Análise de Vulnerabilidades e Testes de Invasão

Técnicas e ferramentas para auditoria e testes de invasão

Prof. Davison Marques

Conceitos

Objetivos de um teste de invasão

•Simular, de maneira que mais se aproxime da realidade, ataques realizados contra servidores e aplicações de uma organização.

•A partir dessa simulação, será gerado um relatório com as vulnerabilidades encontradas para que sejam implementados os controle de segurança necessários.

Conceitos

• Atividade técnica e controlada

• Testes de segurança

• Simulação de ataques

• Tentativas de obtenção de acesso não autorizado e ativos de informação

Justificativa e Motivação

• Avaliar os riscos e vulnerabilidades reais presentes no seu negócio.

• Determinar se os investimentos atuais estão realmente detectando e prevenindo ataques.

• Conformidade com normas internacionais.

• Milestone para projetos entrarem ou não em produção (“go live”).

Pentest x Ataque real

• Metodologia.

• Documentação.

• Preocupação com o cliente.

• Limitações.

• Autorização documentada.

• Integridade.

Planejamento e Preparação

• Detalhes da infraestrutura

• Acordo de confidencialidade (NDA)

• Equipamento e recursos necessários

• Relatório de linha do tempo

• Acesso a testes anteriores

• Inspeção física

• Tratamento de questões especiais

• Limitações de tempo

Planejamento e Preparação

Planejamento e Preparação

• Objetivo / Propósito

• Alvos

• Profundidade

• Exclusões

Tipos de teste

• O que você sabe sobre o ambiente?

• Blind (caixa preta)

• Open (caixa branca)

• O que o ambiente sabe sobre você?

• Teste anunciado

• Teste não-anunciado

Etapas de um pentest

• Obtenção de informações e mapeamento

• Identificação de vulnerabilidades

• Análise e exploração

Obtenção de informações e mapeamento

• Nmap

Identifica host vivos, estado de portas, serviços e sistemas operacionais

• Xprobe

Fingerprint de sistemas operacionais

• P0f

Identificação passiva de SO

Identificação de Vulnerabilidades

• NESSUS Professional Edition

• QualysGuard

• OpenVas

• Retina

Análise e exploração

• W3af (Verifica aplicações sobre falhas de SQLi, XSS, RFI LFI)

• Nikto (Verifica webservers)

• SQLmap (Descoberta estrutura e dados de banco de dados)

• Webscarab (Proxy para manipulação de parâmetros)

• LOIC, Hping e T50 (Testes de stress de redes)

• John the ripper, hydra, cudahash (Ataques de força bruta)

Análise e exploração

• Metasploit Framework (realiza ataques automatizados com base em exploits públicos)

• Wireshark (captura e análise de tráfego de rede)

• Aircrack-ng / kismet (Análise e exploração de redes sem fio)

Modelos e referências

• OWASP – Open Web Application Security Project

• OSSTMM – Open Source Security Testing Metodology Manual

• NIST 800.42 – Guideline on Network Security Testing

• ISSAF - Information System Security Assessment Framework