Universidade Aberta do Brasil - UAB

Universidade Estadual do Cear UECE

Licenciatura Plena em Informtica

Segurana da Informao 2015.1

Prof. Luiz Gonzaga

Limoeiro do Norte, 15 de maio de 2015.

Agenda

Apresentao

Captulo 01: Redes de Computadores

Captulo 02: Criptografia

Captulo 03: Segurana da Informao

Captulo 04: Testes de Intruso

Apresentao

Luiz Gonzaga Mota Barbosa

Bacharel em Cincias da Computao UECE

Aluno do Mestrado Acadmico em Cincias da Computao UECE

Membro do INSERT 2008...

Segurana da Informao
Pesquisa e desenvolvimento

Analista de TI / Segurana da Informao STI/UFC

Professor Formador UAB 2014.2

A disciplina

3 encontros:

15/05: Captulo 01 (Presena = 4)

16/05: Captulo 02 (Presena = 5)
*05/06: Captulo 03 (Presena = 4)

*06/06: Captulo 04 (Presena = 5)

19/06: Tira dvidas (Presena = 4)

20/06: Prova (Presena = 5)

Atividades:

Exerccios (Presena = 31 A1 = 15, A2 = 16**)

Frum (Presena = 5** cada frum)

Presena total = 68

Mximo de 17 faltas.

Nota:

Exerccios

Frum

Prova

Auto-avaliao

Agenda

Apresentao

Captulo 01: Redes de Computadores

Captulo 02: Criptografia

Captulo 03: Segurana da Informao

Captulo 04: Testes de Intruso

Captulo 01
Redes de Computadores

Imagem: http://www.jofarsystems.com/computer-networking

Redes de Computadores

Criadas a partir da necessidade de se compartilhar dados e

dispositivos.

Desta forma, a intercomunicao entre os dispositivos finais (ns) da rede

resulta na distribuio dos dados, deixando as informaes acessveis
atravs da rede.
A Internet uma rede de computadores que conecta milhes de dispositivos
ao redor do mundo.

Redes de Computadores

Dispositivos so conectados atravs de enlaces (links) de

comunicao e comutadores de pacotes.

Enlaces diferentes podem ter taxas de transmisso diferentes.

Taxa de transmisso medida em bits/seg.

A comunicao dos dispositivos finais com a Internet se d por meio

de Provedores de Servio de Internet (ISPs Internet Service
Provider)

Os provedores tambm obedecem a uma hierarquia; portanto ISPs de nvel

mais baixo so interconectados por meio de ISPs de maior nvel.

Imagem: Computer Networking: A Top-Down Approach, 6 Ed. Kurose-Ross. 2013. (adaptado)

Transmisso de dados

Quando um n possui dados para enviar a outro sistema final, o

emissor fragmenta os dados em pacotes.

Cada pacote possui informaes utilizadas para a localizao do destino e

para a reorganizao dos fragmentos que compem o dado original.

Esses pacotes so encaminhados atravs de diversos dispositivos de

rede at chegar no destino.

Sequncia de enlaces e dispositivos rota ou caminho.

Ao chegar no destino, os pacotes so reoganizados, recuperando o dado
original.

Transmisso de dados

Estratgia Armazena-e-Encaminha:

Imagem: Computer Networking: A Top-Down Approach, 6 Ed. Kurose-Ross. 2013. (adaptado)

Protocolos

So regras e convenes desenvolvidas com a finalidade de gerenciar

o envio e o recebimento de dados.

Pode se dizer ento que os protocolos regem a Internet de acordo com

padres acordados para o funcionamento adequado de cada um destes
protocolos.
Gerenciados pela IETF - Internet Engineering Task Force.
Os documentos padronizados da IETF so chamados RFC (Request for
Comments)

Relatrios tcnicos de cada protocolo, definindo-os a partir de sua estrutura bsica.

Protocolos

Imagem: Computer Networking: A Top-Down Approach, 6 Ed. Kurose-Ross. 2013. (adaptado)

Protocolos

Procurando reduzir a complexidade e promover a interoperabilidade

entre as tecnologias, os softwares de comunicao so altamente
estruturados.

O processo de comunicao subdividido em camadas onde cada uma

delas prov servios para a sua superior.
Em uma comunicao entre duas mquinas, cada camada troca informaes
com a mesma camada na outra mquina.

Protocolos - Camadas

Protocolos Pilha TCP

Aplicao a camada que a maioria dos programas de rede usa de

forma a se comunicar atravs de uma rede com outros programas.
Processos que rodam nessa camada so especficos da aplicao; o
dado passado do programa de rede, no formato usado internamente
por essa aplicao, e codificado dentro do padro de um protocolo.
Transporte prov mecanismos que possibilitam a troca de dados
fim-a-fim, ou seja, a camada de transporte no se comunica com
mquinas intermedirias na rede, como pode ocorrer com as camadas
inferiores.

Protocolos Pilha TCP

Rede trata basicamente de duas funes importantssimas:

Endereamento e Roteamento.

O endereamento identificao dos endereos de origem e destino dos

dados a transmitir.
O roteamento est relacionado a escolhas referentes determinao do
melhor caminho a ser percorrido pela informao (rotas).

Enlace Oferece servios camada de rede; Deteco e Correo de

erros de transmisso; Regular o fluxo de dados de modo que um host
mais rpido no sobrecarregue um mais lento.

Protocolos Pilha TCP

Fsica trata da transmisso efetiva da informao (bits) pela rede.

Os dados que so transmitidos de uma interface outra so enviados
rede como uma sequncia de bits composta de vrios 0 (zero) e 1
(um).

A funo desta camada garantir que o envio de cada bit 0 seja recebido
como um bit 0, e cada bit 1 seja recebido como um bit 1. No h
necessidade de preocupao com a leitura das informaes nem com os
erros ocorridos durante a transmisso.

Protocolos - Encapsulamento /
Desencapsulamento

Ameaas na rede

Hoje em dia, a Internet ferramenta essencial para qualquer

organizao, sejam elas grandes, pequenas, universidades ou rgos
do governo.

Porm, existem ameaas invisveis usurios mal intencionados.

Danificando computadores conectados Internet;

Violando privacidade;
Inutilizando alguns servios da Internet;
Capturando informaes privilegiadas.

Consequncias

Indisponibilidade dos servios;

Prejuzos financeiros;

Processos judiciais;

Multas ou penalidades contratuais;

Danos imagem...

Segurana da Informao

Agenda

Apresentao

Captulo 01: Redes de Computadores

Captulo 02: Criptografia

Captulo 03: Segurana da Informao

Captulo 04: Testes de Intruso

Captulo 02
Criptografia

Imagem: http://www.baboo.com.br/seguranca/criptografia-de-dados-se-torna-comum-entre-empresas-de-tecnologia/

Criptologia

Criptografia

Estuda formas de ocultar

mensagens/informaes.
Embaralha as informaes
atravs de funes criptogrficas
e uma ou mais chaves.

Criptoanlise

Estuda formas de decifrar as

informaes encriptadas, sem o
conhecimento da chave
utilizada.

Esteganografia

Esconde a existncia de uma mensagem dentro de outras mensagens.

Criptografia oculta.

Termos comuns

Texto plano: informao original, no encriptada.

Texto cifrado (ou cifra): informao encriptada.

Algoritmo criptogrfico: conjunto de funes utilizadas para:

Encriptao: transforma o texto plano em texto cifrado;

Decriptao: processo inverso da encriptao.

Chave criptogrfica: uma das informaes necessrias para

encriptar/decriptar informaes.

Encriptao e decriptao

Chaves criptogrficas

As chaves utilizadas durante a encriptao e a decriptao podem ser

as mesmas ou podem ser chaves diferentes, uma para cada processo.

Chaves iguais Criptografia simtrica

Chaves diferentes Criptografia Assimtrica

Sistemas criptogrficos
Sistemas criptogrficos so compostos por uma famlia de
transformaes Ek e Dk para encriptao e decriptao,
respectivamente, e por um espao de chaves K no qual esto todas as
chaves possveis para um dado sistema criptogrfico.

Sistemas criptogrficos

Devem garantir que no ser possvel obter o texto plano e/ou a chave
criptogrfica a partir do texto cifrado ou de pares (texto plano, texto
cifrado).

Caso contrrio, so ditos quebrveis.

O segredo mantido por sistemas criptogrficos deve depender

somente da chave criptogrfica k.

No caso de sistemas onde a chave de encriptao diferente da chave de

decriptao, pelo menos uma das chaves deve ser mantida em segredo.

Sistemas criptogrficos

Para ser considerado um sistema criptogrfico incondicionalmente

seguro, o sistema deve resistir a qualquer tipo de ataque.

Texto plano escolhido; Texto cifrado escolhido; Texto plano conhecido;

Somente texto cifrado.

Porm, dados os recursos necessrios ilimitadamente, todo sistema

criptogrfico quebrvel.

A questo : Em quanto tempo um dado sistema criptogrfico seria

quebrado?

Sistemas criptogrficos
Um sistema criptogrfico computacionalmente seguro ou forte
aquele que no capaz de ser quebrado, em tempo hbil, por mtodos
sistemticos, ainda que utilizando todos os recursos disponveis.

Criptografia Simtrica

Utilizao de uma mesma chave secreta para encriptao e

decriptao.
Algoritmo de Transposio

Altera a ordem dos componentes

da mensagem.

Texto plano: GONZAGA

Cifra: GNAAOZG

Algortimo de Substituio

Correlao entre smbolos.

Texto plano: GONZAGA

Cifra: JRQCDJD

Encriptao

Texto
plano

Algoritmo de
Encriptao

Texto
cifrado

Texto
cifrado

Jos

Maria

Decriptao

Texto
cifrado

Algoritmo de
Decriptao

Texto
plano

Texto
plano

Jos

Maria

Discusso

Como distribuir a chave?

Como saber que a mensagem foi enviada por aquele que diz t-la
enviado?
Como verificar que a mensagem recebida aquela que foi, de fato,
enviada?

Criptografia Assimtrica

Cada entidade possui um par de chaves prprias:

Chave pblica: que pode ser disponibilizada livremente;

Chave privada: DEVE ser mantida em segredo e devidamente protegida.

As chaves possuem uma relao entre elas:

Uma mensagem encriptada com uma das chaves, s poder ser recuperada
com a utilizao da outra chave correspondente.

E como funciona? Encriptao

Texto
plano

PRIJos

PUBMaria

Algoritmo de
Encriptao

Texto
cifrado

PRIMaria PUBMaria

PUBJos
Texto
cifrado

Jos

Maria

E como funciona? Decriptao

Texto
cifrado

PRIJos

PRIMaria

Algoritmo de
Decriptao

Texto
plano

PRIMaria PUBMaria

PUBJos

Jos

Maria

Discusso

Resolvido o problema da troca de chaves!

Confidencialidade garantida!

Cada entidade possui seu par e o gerencia de maneira adequada.

Somente o dono da chave privada relativa chave pblica utilizada na
encriptao poder recuperar o contedo da mensagem.

Como saber que a mensagem foi enviada por aquele que diz t-la
enviado? Integridade da fonte
Como verificar que a mensagem recebida aquela que foi, de fato,
enviada? Integridade da mensagem

Integridade da fonte

Texto
plano

PRIJos

PRIJos

Algoritmo de
Encriptao

Texto
cifrado

PRIMaria PUBMaria

PUBJos
Texto
cifrado

Jos

Maria

Integridade da fonte - Verificao

Texto
cifrado

PRIJos

PUBJos

Algoritmo de
Decriptao

Texto
plano

PRIMaria PUBMaria

PUBJos

Jos

Maria

Discusso

Maria pode confiar que a mensagem foi enviada por Jos!

Somente ele possui a chave privada correspondente a chave pblica que

Maria acredita ser a de Jos.

Qualquer um poder decriptar a mensagem uma vez que todos podem

obter a chave pblica de Jos.

Como garantir os dois?

Integridade da fonte + Confidencialidade

1. Jos encripta (E) a mensagem (M) utilizando sua chave privada (PRIJos):
C = EPRI (M) Integridade da fonte
Jos

2. Jos pega esse resultado e encripta novamente utilizando a chave pblica de

Maria (PUB ):
Maria

C = EPUB [ EPRI (M) ] Integridade da fonte + Confidencialidade

Maria

Jos

3. Jos envia a mensagem cifrada (C) para Maria.

Integridade da fonte + Confidencialidade

4. Maria decripta (D) a cifra (C) utilizando sua chave privada (PRIMaria):
DPRI (C) = DPRI ( EPUB [ EPRI (M) ] ) = EPRI (M)
Maria

Maria

Maria

Jos

Jos

5. Maria pega esse resultado e decripta novamente utilizando a chave pblica de

Jos (PUB ):
Jos

DPUB [ EPRI (M) ] = M

Jos

Jos

6. Maria agora recuperou a mensagem original e verificou que foi enviada por
Jos.

Discusso

Jos e Maria podem trocar mensagens de tal forma que, somente eles
podero acessar o contedo e cada um pode garantir que as mensagens
foram enviadas por eles.
Como verificar que a mensagem recebida aquela que foi, de fato,
enviada? Integridade da mensagem

Resumo Criptogrfico Hash

Consiste em uma funo matemtica que transforma um conjunto de

dados de entrada em uma sequncia de dados de tamanho fixo.

Qualquer alterao, por menor que seja, sobre o dado original, resulta em
um resumo totalmente diferente.

Pode ser utilizada como uma identificao nica de um arquivo.

No possvel obter o dado original a partir de um hash.

Assinatura Digital

Prov:

Autenticidade: o autor quem

realmente diz ser;
Integridade: a mensagem no
sofreu alteraes;
Irretratabilidade: o emissor
no tem como negar a
autenticidade da mensagem.

Imagem: Introduo a Infraestrutura de Chaves Pblicas e Aplicaes. ESR-RNP. 2010.

Discusso

Como garantir que a chave criptogrfica de fato de quem diz ser seu
detentor?

Soluo: Certificado Digital

Certificado Digital

um objeto puramente digital;

Contm informaes de seu detentor;

Deve ser facilmente verificado;

Deve ser fcil checar se foi violado e/ou perdeu sua validade

Lista de Certificados Revogados.

Certificado Digital

Imagem: Introduo a Infraestrutura de Chaves

Pblicas e Aplicaes. ESR-RNP. 2010.

Autoridade Certificadora responsvel por:

Emitir os certificados digitais;

Controlar as chaves privadas;

Distribuio as respectivas chaves pblicas.

Certificado Digital

Cadeia de certificao

Agenda

Apresentao

Captulo 01: Redes de Computadores

Captulo 02: Criptografia

Captulo 03: Segurana da Informao

Captulo 04: Testes de Intruso

Captulo 03
Segurana da Informao

No mundo atual

Fonte: http://www.ioxsus.com/#!worldwide-customer-support/zoom/mainPage/image5e1.

O que todos tm em comum?

Contratos

Dados de Funcionrios
Informaes
Financeiras

Investimentos
Conhecimento

Informao

Projetos

O que Informao?

um ativo essencial do ponto de vista de negcio de uma

organizao e, consequentemente, deve ser devidamente protegido.
(NBR-ISO-IEC-27000)

Tipos de informao

Com o que se preocupar?

Ataques: roubos, falsificaes...

Erros inerentes de sua
utilizao/manipulao: Algo
encaminhado para o destino
errado, quantias com zeros a
mais...
Aes da natureza: terremotos,
inundaes...

Consequncias

Indisponibilidade dos servios;

Prejuzos financeiros;

Processos judiciais;

Multas ou penalidades contratuais;

Danos imagem...

O que sabemos sobre SegInfo?

Princpios Bsicos
Segurana da Informao

Confidencialidade

Integridade

Disponibilidade

Confidencialidade

Est relacionada ao encobrimento de

uma informao e/ou recursos, ou at
mesmo de sua prpria existncia. (Matt
Bishop)

Confidencialidade

Princpio need to know

Princpio do menor privilgio

Mecanismos de controle de acesso

Criptografia

Senhas

Regras

Integridade
Est relacionada confiabilidade em
uma informao ou recurso. (Matt
Bishop)

Integridade

Preveno de mudanas incorretas ou no autorizadas

Integridade da origem e do destino

Mecanismos de Preveno (Bloqueios)

Mudanas no autorizadas

Mudanas de maneiras no autorizadas

Mecanismos de Deteco

Analisam eventos a fim de detectar problemas

Disponibilidade
Est relacionada habilidade em
utilizar a informao ou recurso
quando desejado. (Matt Bishop)

Disponibilidade

Um sistema indisponvel to ruim quanto no ter o sistema.

Mecanismos de resilincia

Proporcionam fontes de redundncia e recuperao para o sistema.

Como dizer se um determinado comportamento anormal oriundo de um
ataque ou apenas um dia mais atarefado?

Utilizao de modelos estatsticos de comportamento Nem sempre funcionam.

Princpios Bsicos
Segurana da Informao

Confidencialidade

Integridade

Disponibilidade

Violao de Segurana

Outros aspectos de SegInfo

Autorizao

Autenticao

Responsabilidade (Accountability)

No-repdio

Autenticao
a verificao da identidade de algo ou algum.

Pode ser alcanada atravs de:

Algo que voc sabe;

Algo que voc possui;

Algo que voc .

Autenticao de mltiplos fatores

Autorizao
Consiste em verificar se um usurio/entidade tem as permisses
necessrias, ou autoridade, para realizar uma determinada ao.

Modelos de controle de acesso:

Compostos por entidades, objetos e as permisses que as entidades tm

sobre os objetos.
Alguns modelos trazem a ideia de classificar as informaes e seus usurios.

Responsabilidade (Accountability)
Consiste em ter a capacidade de identificar quem realizou uma
determinada ao.

Basicamente alcanado atravs da utilizao de:

Mecanismos de autenticao;

Criao de registros (logs) e trilhas de auditoria.

No-repdio
Capacidade de garantir que uma entidade no ser capaz de negar que
realizou uma determinada ao.

Utilizao de uma terceira parte confivel.

Envolve uma srie de garantias por parte da terceira parte, e a confiana por
parte de quem utiliza essa terceira parte.
Exemplos: entidades de e-commerce e Autoridades Certificadoras.

Segurana da Informao
Segurana consiste em separar o ativo das ameaas. (OSSTMM)

Ameaas
Correspondem a uma potencial violao de segurana.
Ameaas
Humanas
Maliciosas
Externas

Internas

Criminosos /
Concorrentes

Funcionrios
Insatisfeitos

Naturais

No maliciosas

Inundaes /
Terremotos /
Incndios

Usurio
Ignorante

Fonte: http://technet.microsoft.com/en-us/library/cc723507.aspx (adaptado).

Vulnerabilidades
So os pontos fracos existentes em um sistema.

Podem ser:

Fsicas: material de m qualidade, local onde o sistema/informao est

acondicionado;
Lgicas: m configuraes, malwares, bugs;
Hardware: equipamentos defeituosos ou adulterados;
Humanas: desconhecimento, corrupo.

Ataques
Resultado da explorao de
uma vulnerabilidade.

Ataques

Ativos

Passivos

Personificao

Escutas / Espionagem

Negao de Servio

Varreduras em rede

Roubo de Informaes

Adulterao/Modificao de
Informaes/Dados
Obteno de acesso no
autorizado...

Segurana da Informao
Segurana consiste em separar o ativo das ameaas. (OSSTMM)

Como fazer isso?

Separar fisicamente/logicamente

Destruir a ameaa

Mover ou destruir o ativo

Polticas e
Mecanismos de
Segurana
Complicado ou Ilegal
Indesejvel

Polticas e Mecanismos

Poltica:

uma declarao, em alto nvel, do que

permitido e do que no permitido.

Mecanismo:

Mtodos, ferramentas ou procedimentos

adotados a fim de fazer cumprir uma
poltica.

Objetivos:

Preveno;

Deteco;

Recuperao.

Mecanismos de Segurana

Mecanismos de preveno

Mecanismos de deteco

Buscam garantir que um ataque falhar.

Buscam determinar se um ataque est ocorrendo ou j ocorreu e report-lo.

Mecanismos de recuperao

Buscam avaliar e reparar os danos causados por um ataque.

Implementando Segurana
No existe um sistema 100% seguro.

Polticas e mecanismos so criados, combinados e postos em prtica

com a finalidade de:

Diminuir a superfcie de contato (exposio) de sistemas, recursos e

informaes;
Inviabilizar a execuo dos ataques. Muito tempo e/ou recursos necessrios
para o sucesso do atacante;
Reduzir/evitar prejuzos legais e financeiros.

nico
ponto de
entrada

Defense-in-Depth

Torre

Muralha
Colina

Fosso

Fonte: http://itsleslielive.com/tag/cardiff/

Defense-in-Depth
Infraestrutura Fsica

Redes e Comunicaes
Hospedeiro
Dados/
Informao

Alinhamento

Legislao

Tecnologia

Negcio

SegInfo no s T.I.
Pessoas

Processos

Tecnologia

Nveis de implementao
Negcio

Produto

Estratgico

Especificao

(Diretrizes)

(O que quero)

Ttico

Projeto

(Normas)

(Componentes)

Operacional

Implementao

(Procedimentos)

(Tcnicas)

Saber analisar sua implementao

Segurana

Balancear
Custo

Praticidade

Segurana no um produto, um processo contnuo.

Fonte: http://www.profissionaisti.com.br/2010/10/conhecendo-a-abnt-nbr-isoiec-27001-parte-1/ adaptado da norma ABNT NBR/ISO/IEC 27001:2013

Segurana no um produto, um processo contnuo.

Fonte: Norma ABNT NBR/ISO/IEC 27001:2013

No preciso reinventar a roda

Organizao Internacional de Padronizao (International Organization for Standadization

ISO)

Famlia 27000 (principalmente).

Associao Brasileira de Normas Tcnicas (ABNT)

Organizao no-governamental, independente composta por membros de entidades de padronizao de

163 pases. QG em Genebra, Sua.

ISO no Brasil

DSIC-GSIPR

Legislao, normas de SegInfo.

Coordenar e acompanhar aes de Seginfo na APF.

Dificuldades

Falta de conscincia/apoio da alta administrao sobre o assunto:

No pertence rea tcnica;

No possui pessoal com o conhecimento necessrio.

A cultura organizacional:

Hbitos/costumes;

Resistncia a mudanas.

Desconhecimento do ambiente:

No conhecer bem o negcio, seus requisitos;

No sabe o que acontece em sua rede/sistema.

Dificuldades

Falta de pessoal qualificado:

Poucos profissionais disponveis;

rea muito especializada.

Avano tecnolgico acelerado:

Novos ataques / ameaas;

Novas solues / tcnicas.

Custo elevado:

Profissional qualificado;

Solues: aquisio e manuteno/suporte.

Importante

Segurana como uma corrente, to forte quanto seu elo

mais fraco.
A falsa sensao de estar seguro pior do que no ter
segurana nenhuma.
Voc no pode resolver um problema com o mesmo
pensamento que criou o problema. - Albert Einstein.

Agenda

Apresentao

Captulo 01: Redes de Computadores

Captulo 02: Criptografia

Captulo 03: Segurana da Informao

Captulo 04: Testes de Intruso

Captulo 04
Testes de Intruso

Imagem: http://www.potech-consulting.com/service/penetration-tests

Imagem: http://imgarcade.com/1/angry-phone-call-cartoon/. (adaptado)

Testes de Intruso

Um termo mais amigvel ao mundo de negcios quando se fala sobre

hacking como um servio.

Consiste na utilizao das mesmas tcnicas e ferramentas que um indivduo

malicioso utilizaria para atacar um sistema, porm com a finalidade de descobrir e
relatar ao cliente, ou empresa, as vulnerabilidades encontradas em seus sistemas.
Tabm conhecido como:

Hacking tico (Etical Hacking);

Pentest (Penetration Tests).

Tipos de Pentest
Conhecimento
sobre o alvo

Escopo

Posicionamento
da equipe

Completo

Black box

Interno

Parcial

Gray box

Externo

Direcionado

White box

Tipos de Pentest - Escopo

Completo todos os departamentos sero avaliados. Vai desde o

acesso fsico at os dispositivos presentes no sistema da empresa.
Parcial apenas parte da empresa ser testada. Um novo setor ou
uma determinada filial, por exemplo.
Direcionado neste, um determinado dispositivo ou sistema ser
testado pela equipe.

Tipos de Pentest Conhecimento sobre o alvo

Black box a equipe no possui nenhuma informao sobre a empresa, seus

departamentos, funcionrios e dispositivos. Este tipo de pentest simula um ataque
de um usurio vindo da Internet.
Gray box a equipe possui algumas informaes cedidas pela empresa. Este
tipo de teste simula um ataque que poderia ser realizado por algum empregado
insatisfeito ou que foi demitido e deseja prejudicar a empresa.
White box a equipe possui todas as informaes relacionadas ao sistema que
ser avaliado. Este tipo de teste simula a ao de um atacante que membro da
empresa e possui informaes relevantes sobre ela.

Tipos de Pentest Posicionamento da equipe

Interno a equipe agir de dentro da empresa como se fosse algum

funcionrio a fim de prejudic-la.
Externo todas as aes realizadas pela equipe durante o pentest
ocorrero fora dos permetros da empresa que a contratou.

Antes de fazer um pentest

Ataques bem sucedidos no ocorrem de maneira aleatria, preciso um

certo planejamento, ainda que este seja mnimo, por parte do atacante e,
portanto, do pentester.

Antes de iniciar qualquer atividade, deve ser realizada uma reunio na qual devem
estar presentes:

a equipe que realizar o teste e;

representatntes do cliente (administrativos e tcnicos).

Nesta reunio, tratar sobre questes como o escopo do teste, questes financeiras,
entre outras

Tudo dever ser posto em um documento assinado por todos os envolvidos a fim de evitar
complicaes legais para ambos os lados.

Fases do pentest

Reconhecimento

Anlise de
Vulnerabilidades

Ataque

Ocultao das
evidncias

Fases do pentest - Reconhecimento

O atacante busca o mximo de informaes relevantes sobre seu alvo.

Reconhecimento passivo

O atacante utiliza tcnicas para obter informaes sobre o alvo, sem que este
perceba.
Serve para ter uma viso geral do alvo: comportamentos, pessoas, informaes
disponveis atravs da Internet.

Reconhecimento ativo

Tcnicas de reconhecimento ativo obtm informaes diretamente do alvo.

Maior possibilidade de ser detectado.

Serve para ter uma viso mais detalhada do alvo: sistemas utilizados, servios em
execuo, mquinas conectadas, etc.

Fases do pentest Anlise de Vulnerabilidades

O atacante tenta identificar as possveis vulnerabilidades existentes

nos sistemas descobertos.

Essas vulnerabilidades so ordenadas de acordo com seu nvel de

criticidade.
So escolhidos/desenvolvidos os exploits que sero utilizados na prxima
fase.

Fases do pentest Ataque

Simplesmente o ataque propriamente dito.

So lanados os exploits encontrados e/ou desenvolvidos na fase anterior a

fim de obter acesso ao sistema alvo.

Esses exploits podem ser lanados local ou remotamente e atravs de redes com ou
sem fio.

Ataque bem sucedido = controle/acesso mquina ou sistema atacado.

Roubar informaes, manter o controle, lanar outros ataques, etc.

Fases do pentest Ocultao de evidncias

A fim de manter o controle do sistema, ou simplesmente, no ser

punido, o atacante dever limpar as evidncias geradas durante o
ataque.

So buscados todos os registros do sistema (logs), alarmes de sistemas de

deteco de intruso para que estes sejam alterados e assim o ataque seja
ocultado.

Ao final de um pentest

Todas as descobertas feitas pela equipe que realizou o teste, assim

como informaes referentes aos ataques, devero estar presentes
neste relatrio e devero ser apresentadas aos responsveis pela
empresa.

Todo o contedo deste documento deve, por razes bvias, ser mantido
confidencial e ser acessado somente por aqueles encarregados na empresa
em tomar as devidas providncias.

Metodologias

Para auxiliar o trabalho da equipe, esta deve seguir uma metodologia

de como ser o pentest.

Documentao, fases, aes, processos, entradas e sadas.

Exemplos de metodologias existentes:

OSSTM;
ISSAF;
OWASP;

Com o tempo a equipe pode desenvolver sua prpria metodologia de

pentest.

Agenda

Apresentao

Captulo 01: Redes de Computadores

Captulo 02: Criptografia

Captulo 03: Segurana da Informao

Captulo 04: Testes de Intruso

Prximo encontro

19/06:

Tira dvidas!!!

Tira dvidas != Reviso No d tempo revisar tudo. =/

20/06:

NPC

Obrigado!
gonzaga@insert.uece.br