Workshop Riosoft Auditoria Teste de Invasão(pentest)

  • 1,706 views
Uploaded on

Foram apresentadas algumas das principais técnicas e ferramentas para realização de auditoria do tipo teste de invasão, tanto em redes e sistemas quanto em aplicações web. Uma série de estudos de …

Foram apresentadas algumas das principais técnicas e ferramentas para realização de auditoria do tipo teste de invasão, tanto em redes e sistemas quanto em aplicações web. Uma série de estudos de casos relacionados com as atividades da auditoria tipo teste de invasão também será apreciada.

http://www.blog.clavis.com.br/workshop-gratuito1603-ferramentas-tecnicas-e-estudos-de-caso-para-auditorias-teste-de-invasao/

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
1,706
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
146
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Técnicas e Ferramental paraTestes de Invasão (PenTests)Rafael Soares FerreiraClavis Segurança da Informaçãorafael@clavis.com.br Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 2. $ whoami Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• CSO (Clavis & Green Hat)• Pentester• Investigador Forense• Incident Handler• Hacker Ético (CEHv6 – ecc943687)• Instrutor e Palestrante Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 3. Agenda Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Definição• Preparação• Testando Redes e Sistemas• Testando Aplicações Web• Ferramentas• Dúvidas• Próximos Eventos Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 4. Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Testes de segurança ● Atividades técnicas controladas ● Simulações de ataques reais Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 5. Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.● Avaliar riscos e vulnerabilidades• Determinar eficácia de investimentos• Conformidade• Homologação Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 6. Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.● Metodologia e Documentação● Limitações e Ética● Autorização documentada Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 7. Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> OSSTMM Open Source Security Testing Methodology Manual >> NIST 800.42 Guideline on Network Security Testing >> OWASP Open Web Application Security Project >> ISSAF Information Systems Security Assessment Framework Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 8. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Detalhes da Infraestrutura• Acordo de confidencialidade (NDA)• Equipamento e recursos necessários• Acesso a testes anteriores Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 9. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.● Objetivo/Propósito● Alvos● Profundidade● Exclusões Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 10. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> O que você sabe sobre o ambiente? Blind (caixa preta) Open (caixa branca)>> O que o ambiente sabe sobre você? Teste anunciado Teste Não-anunciado Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 11. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Ponto de Partida ● Ataques externos ● Ataques Internos Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 12. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Tratamento de questões especiais● Falha no sistema alvo● Dados sensíveis encontrados● Pontos de Contato Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 13. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Limitações de Tempo ● Restrições de Horário ● Duração do Teste Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 14. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Vetores de Ataque ● Classificação de vulnerabilidades ● Identificação de circuitos de ataque ● Caminho de menor resistência ● Árvores de ataques Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 15. Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Obtenção de Informações ● Engenharia Social ● Trashing (Dumpster Diving) ● Whois ● Entradas DNS ● Buscas na Internet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 16. Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Varreduras ● Wardriving ● Mapeamento de Redes ● Port Scan ● Vulnerabilidade Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 17. Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Invasão ● Sniffing ● DNS Cache Poisoning ● Exploits ● Quebra de Senha ● Negação de Serviço Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 18. Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Pós-Invasão ● Escalada de Privilégios ● Manutenção de Acesso ● Cobrindo Rastros Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 19. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Principais Problemas• Não validação de dados externos• Não tratamento de erros• Falta de Canonicalização• Verificações Client-Side• Segurança por Obscuridade Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 20. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Injeções• Dados não esperados (e não tratados!) enviadospara um interpretador• Interpretadores recebem strings e interpretamcomo comandos• SQL, Shell, LDAP, etc...• Injeção de SQL é disparado o mais comum!• Impactos Catastróficos! Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 21. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Injeções - SQL Client-Side: <form method="post" action="http://SITE/login.php"> <input name="nome" type="text" id="nome"> <input name="senha" type="password" id="senha"> </form> Server-Side: SELECT id FROM usuarios WHERE nome = $nome AND senha = $senha ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 22. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Injeções - SQL Client-Side: O Exploit! OR a=a Server-Side: SELECT id FROM usuarios WHERE nome = $nome AND senha = OR a=a ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 23. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Injeções - SQL www.seginfo.com.br Traduzida a partir da Tirinha “Exploits of a mom” do xkcd Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 24. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Injeções - SO• Dados enviados pelo usuário geram um comandoque é passado ao sistema• Exemplo: DNS lookup em domínios passados pelousuário• Exploit: clavis.com.br%20%3B%20/bin/ls%20-l Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 25. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross-Site Scripting (XSS)• Dados maliciosos enviados ao browser do usuário• Podem estar em posts, URLs, javascript, etc...• Todo Browser é “vulnerável”:javascript:alert(document.cookie)• Geralmente visa roubo (de sessão, de dados, ...)ou redirecionamento para sites maliciosos Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 26. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 27. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross-Site Scripting (XSS) - Persistente Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 28. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross-Site Scripting (XSS) – Não Persistente Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 29. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Gerência de Sessões e Autenticações• O protocolo HTTP é stateless• SESSION ID usado para gerir a “sessão”• A exposição do SESSION ID é tão perigosaquanto a de credenciais• Outras possibilidades são: Reset e/ou lembretede senha, Pergunta secreta, logout, etc...• Possibilita o comprometimento de sessões Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 30. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Referência Direta a Objetos Insegura• Não adianta esconder objetos• Controle de Acesso em camada de apresentaçãonão funciona!• Force restrições server-side!• Possibilita acesso a dados não autorizados Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 31. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross Site Request Forgery (CSRF)• O browser da vítima é induzido à executarrequisições• Analogia: Um atacante se apodera de seu mousee clica em links enquanto você usa seu internetbanking Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 32. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross Site Request Forgery (CSRF) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 33. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Canal Inseguro• A internet é pública e hostil!• Dados podem ser (e serão!) capturados• Utilize criptografia!• Atacantes podem visualizar e/ou modificarinformações em trânsito Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 34. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Sondagem e Mapeamento >> Nmap >> THC-Amap >> Xprobe2 >> Unicornscan Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 35. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Auditoria de Senhas >> John The Ripper >> THC-Hydra Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 36. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Análise de Tráfego >> Wireshark >> Tcpdump >> Ettercap >> Dsniff Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 37. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Análise de Vulnerabilidades >> Nessus >> OpenVAS >> SARA >> QualysGuard Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 38. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Auditoria em Servidores Web >> Nikto >> Paros >> Webscarab Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 39. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Auditoria em Redes sem Fio >> Kismet >> Aircrack-ng >> Netstumbler >> Cowpatty Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 40. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Exploração de Vulnerabilidades >> Metasploit >> SecurityForest Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 41. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Manipulação de pacotes e artefatos >> Hping >> Yersinia >> Ida Pro >> Ollydbg Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 42. Conclusões Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.● Técnicas regem o ferramental● A ética é muito importante (sempre!)● “Grandes poderes trazem grandesresponsabilidades”● Segurança deve ser pró-ativa Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 43. Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 44. Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Data: 12 e 13 de agosto de 2011(sexta e sábado)Local: Centro de Convenções da Bolsa de Valores doRio de Janeiro. www.seginfo.com.br Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 45. Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Profissionais renomados no cenário Nacional e Internacional Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 46. Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Jogos e Premiações! Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 47. Dúvidas? Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Perguntas? Críticas? Sugestões? Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 48. Fim... Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Muito Obrigado! Rafael Soares Ferreira rafael@clavis.com.br @rafaelsferreira Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.