Tcnicas e Ferramentas para

Auditorias Testes de Invaso

Rafael Soares Ferreira

Scio Diretor
Clavis Segurana da Informao
rafael@clavis.com.br

$ whoami
Scio Diretor do Grupo Clavis
Auditor de Segurana
Instrutor e Palestrante
reas de interesse:
Anlise forense computacional;
Deteco e resposta a incidentes de segurana;
Testes de invaso em redes, sistemas e aplicaes.

Conceitos

Atividade tcnica controlada

Teste de segurana

Simulao de ataques

Tentativas de obteno de acesso no autorizado a ativos

de informao
l

Justificativa e Motivao
Avaliar os riscos e vulnerabilidades reais presentes no seu
negcio
l

Determinar se os investimentos atuais esto realmente

detectando e prevenindo ataques
Conformidade com normas internacionais
Milestone para projetos entrarem ou no em produo
(go live)

PenTest X Ataque Real

Metodologia

Documentao

Preocupao com o Cliente

Limitaes

Autorizao documentada

Integridade

Planejamento e Preparao
l

Detalhes da Infraestrutura

Acordo de confidencialidade (NDA)

Equipamento e recursos necessrios

Relatrio de linha do tempo

Acesso a testes anteriores

Inspeo fsica

Tratamento de questes especiais

Limitaes de Tempo

Planejamento e Preparao

Objetivo/Propsito

Alvos

Profundidade

Excluses

Tipos de Teste
>> O que voc sabe sobre o ambiente?
Blind (caixa preta)
Open (caixa branca)

>> O que o ambiente sabe sobre voc?

Teste anunciado
Teste No-anunciado

Etapas de um PenTest

Obteno de Informaes e Mapeamento

Iden4cao de Vulnerabilidades
Anlise e Explorao

Obteno de Informaes
e Mapeamento

Nmap

Iden4ca hosts vivos, estado de portas, servios e sistemas

operacionais

Xprobe

Fingerprint de sistemas operacionais

P0f

Iden4cao passiva de SO

Identificao de Vulnerabilidades

NESSUS Professional Edi4on

Iden4ca Vulnerabildiades em sistemas, servioes e

aplicaes.

QualysGuard

Iden4ca vulnerabilidades, correes pendentes e

existncia de exploits pblicos para tais vulnerabilidades.

Identificao de Vulnerabilidades

w3af

Verica a possibilidade de execuo de ataques do 4po

injeo de SQL, cross site scrip4ng (XSS), incluso de
arquivos locais e remotos, entre outros.

Nikto

Verica a existncia de verses desatualizadas, problemas

em verses especcas e tens de congurao do servidor.

Anlise e Explorao

Metasploit Framework / Express / Pro

Relaciona Vulnerabilidades descobertas com uma base de

exploits e faz tenta4vas de invaso.

Sqlmap

Avalia a possibilidade de injees em aplicaes e uiliza o

padres de resposta para mapear verses de banco.

Anlise e Explorao

Webscarab / Paros / BurpSuite

Intercepta requisies para manipular campos e parmetros

burlando controles client side e forjando requisies
invlidas.

LOIC / Hping /T50

Fazem ataques de Negao de Servio

John the ripper / Hydra

Efetua ataques de Fora Bruta

Anlise e Explorao

Wireshark / TCPdump / Edercap / Dsni

Verica se possvel iden4car e obter informaes
sensveis atravs da manipulao de trfego de rede

Aircrack-ng / Kismet

Avalia exposio de dados e conguraes em redes sem o

Modelos e Referncias
>> OWASP
Open Web Application Security Project

>> OSSTMM
Open Source Security Testing Methodology Manual

>> NIST 800.42

Guideline on Network Security Testing

>> ISSAF
Information Systems Security Assessment Framework

Dvidas?
Perguntas?
Crticas?
Sugestes?

Muito Obrigado!
rafael@clavis.com.br
@rafaelsferreira

Rafael Soares Ferreira

Scio Diretor
Clavis Segurana da Informao