Workshop Riosoft Auditoria Teste de Invasão(pentest)
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Workshop Riosoft Auditoria Teste de Invasão(pentest)

on

  • 2,040 views

Foram apresentadas algumas das principais técnicas e ferramentas para realização de auditoria do tipo teste de invasão, tanto em redes e sistemas quanto em aplicações web. Uma série de ...

Foram apresentadas algumas das principais técnicas e ferramentas para realização de auditoria do tipo teste de invasão, tanto em redes e sistemas quanto em aplicações web. Uma série de estudos de casos relacionados com as atividades da auditoria tipo teste de invasão também será apreciada.

http://www.blog.clavis.com.br/workshop-gratuito1603-ferramentas-tecnicas-e-estudos-de-caso-para-auditorias-teste-de-invasao/

Statistics

Views

Total Views
2,040
Views on SlideShare
1,891
Embed Views
149

Actions

Likes
1
Downloads
144
Comments
0

4 Embeds 149

http://www.blog.clavis.com.br 146
http://www.mefeedia.com 1
http://static.slidesharecdn.com 1
http://feeds2.feedburner.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-NonCommercial-NoDerivs LicenseCC Attribution-NonCommercial-NoDerivs LicenseCC Attribution-NonCommercial-NoDerivs License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Workshop Riosoft Auditoria Teste de Invasão(pentest) Presentation Transcript

  • 1. Técnicas e Ferramental paraTestes de Invasão (PenTests)Rafael Soares FerreiraClavis Segurança da Informaçãorafael@clavis.com.br Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 2. $ whoami Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• CSO (Clavis & Green Hat)• Pentester• Investigador Forense• Incident Handler• Hacker Ético (CEHv6 – ecc943687)• Instrutor e Palestrante Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 3. Agenda Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Definição• Preparação• Testando Redes e Sistemas• Testando Aplicações Web• Ferramentas• Dúvidas• Próximos Eventos Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 4. Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Testes de segurança ● Atividades técnicas controladas ● Simulações de ataques reais Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 5. Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.● Avaliar riscos e vulnerabilidades• Determinar eficácia de investimentos• Conformidade• Homologação Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 6. Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.● Metodologia e Documentação● Limitações e Ética● Autorização documentada Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 7. Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> OSSTMM Open Source Security Testing Methodology Manual >> NIST 800.42 Guideline on Network Security Testing >> OWASP Open Web Application Security Project >> ISSAF Information Systems Security Assessment Framework Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 8. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Detalhes da Infraestrutura• Acordo de confidencialidade (NDA)• Equipamento e recursos necessários• Acesso a testes anteriores Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 9. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.● Objetivo/Propósito● Alvos● Profundidade● Exclusões Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 10. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> O que você sabe sobre o ambiente? Blind (caixa preta) Open (caixa branca)>> O que o ambiente sabe sobre você? Teste anunciado Teste Não-anunciado Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 11. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Ponto de Partida ● Ataques externos ● Ataques Internos Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 12. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Tratamento de questões especiais● Falha no sistema alvo● Dados sensíveis encontrados● Pontos de Contato Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 13. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Limitações de Tempo ● Restrições de Horário ● Duração do Teste Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 14. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Vetores de Ataque ● Classificação de vulnerabilidades ● Identificação de circuitos de ataque ● Caminho de menor resistência ● Árvores de ataques Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 15. Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Obtenção de Informações ● Engenharia Social ● Trashing (Dumpster Diving) ● Whois ● Entradas DNS ● Buscas na Internet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 16. Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Varreduras ● Wardriving ● Mapeamento de Redes ● Port Scan ● Vulnerabilidade Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 17. Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Invasão ● Sniffing ● DNS Cache Poisoning ● Exploits ● Quebra de Senha ● Negação de Serviço Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 18. Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Pós-Invasão ● Escalada de Privilégios ● Manutenção de Acesso ● Cobrindo Rastros Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 19. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Principais Problemas• Não validação de dados externos• Não tratamento de erros• Falta de Canonicalização• Verificações Client-Side• Segurança por Obscuridade Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 20. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Injeções• Dados não esperados (e não tratados!) enviadospara um interpretador• Interpretadores recebem strings e interpretamcomo comandos• SQL, Shell, LDAP, etc...• Injeção de SQL é disparado o mais comum!• Impactos Catastróficos! Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 21. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Injeções - SQL Client-Side: <form method="post" action="http://SITE/login.php"> <input name="nome" type="text" id="nome"> <input name="senha" type="password" id="senha"> </form> Server-Side: SELECT id FROM usuarios WHERE nome = $nome AND senha = $senha ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 22. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Injeções - SQL Client-Side: O Exploit! OR a=a Server-Side: SELECT id FROM usuarios WHERE nome = $nome AND senha = OR a=a ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 23. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Injeções - SQL www.seginfo.com.br Traduzida a partir da Tirinha “Exploits of a mom” do xkcd Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 24. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Injeções - SO• Dados enviados pelo usuário geram um comandoque é passado ao sistema• Exemplo: DNS lookup em domínios passados pelousuário• Exploit: clavis.com.br%20%3B%20/bin/ls%20-l Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 25. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross-Site Scripting (XSS)• Dados maliciosos enviados ao browser do usuário• Podem estar em posts, URLs, javascript, etc...• Todo Browser é “vulnerável”:javascript:alert(document.cookie)• Geralmente visa roubo (de sessão, de dados, ...)ou redirecionamento para sites maliciosos Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 26. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 27. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross-Site Scripting (XSS) - Persistente Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 28. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross-Site Scripting (XSS) – Não Persistente Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 29. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Gerência de Sessões e Autenticações• O protocolo HTTP é stateless• SESSION ID usado para gerir a “sessão”• A exposição do SESSION ID é tão perigosaquanto a de credenciais• Outras possibilidades são: Reset e/ou lembretede senha, Pergunta secreta, logout, etc...• Possibilita o comprometimento de sessões Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 30. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Referência Direta a Objetos Insegura• Não adianta esconder objetos• Controle de Acesso em camada de apresentaçãonão funciona!• Force restrições server-side!• Possibilita acesso a dados não autorizados Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 31. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross Site Request Forgery (CSRF)• O browser da vítima é induzido à executarrequisições• Analogia: Um atacante se apodera de seu mousee clica em links enquanto você usa seu internetbanking Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 32. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross Site Request Forgery (CSRF) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 33. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Canal Inseguro• A internet é pública e hostil!• Dados podem ser (e serão!) capturados• Utilize criptografia!• Atacantes podem visualizar e/ou modificarinformações em trânsito Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 34. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Sondagem e Mapeamento >> Nmap >> THC-Amap >> Xprobe2 >> Unicornscan Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 35. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Auditoria de Senhas >> John The Ripper >> THC-Hydra Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 36. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Análise de Tráfego >> Wireshark >> Tcpdump >> Ettercap >> Dsniff Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 37. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Análise de Vulnerabilidades >> Nessus >> OpenVAS >> SARA >> QualysGuard Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 38. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Auditoria em Servidores Web >> Nikto >> Paros >> Webscarab Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 39. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Auditoria em Redes sem Fio >> Kismet >> Aircrack-ng >> Netstumbler >> Cowpatty Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 40. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Exploração de Vulnerabilidades >> Metasploit >> SecurityForest Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 41. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Manipulação de pacotes e artefatos >> Hping >> Yersinia >> Ida Pro >> Ollydbg Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 42. Conclusões Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.● Técnicas regem o ferramental● A ética é muito importante (sempre!)● “Grandes poderes trazem grandesresponsabilidades”● Segurança deve ser pró-ativa Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 43. Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 44. Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Data: 12 e 13 de agosto de 2011(sexta e sábado)Local: Centro de Convenções da Bolsa de Valores doRio de Janeiro. www.seginfo.com.br Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 45. Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Profissionais renomados no cenário Nacional e Internacional Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 46. Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Jogos e Premiações! Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 47. Dúvidas? Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Perguntas? Críticas? Sugestões? Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 48. Fim... Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Muito Obrigado! Rafael Soares Ferreira rafael@clavis.com.br @rafaelsferreira Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.