Teste de invasão – Quais os principais passos?

0

pentest

Quando fazemos uma auditoria de segurança (Pentest) visamos três objetivos e passos – Planejamento, preparação e execução, todos esses passos exigem de você um certo conhecimento, experiência e ética acima de tudo. Os Pentesters mexem com o bem mais precioso de uma empresa, os dados. Todos os dias novas vulnerabilidades e sistemas são lançados, então com certeza esses testes tem uma importância fundamental em relatar o grau de segurança que seu sistema se encontra.

A parte mais difícil desse trabalho é convencer as empresas do porque de elas precisarem desse teste de invasão e o que pode ganhar com isso. Eu garanto para todos vocês que 99% das vezes vocês terão que mexer no bolso do cliente para eles notarem o quão grande é o risco que ele está correndo, compare o preço que ele pagará pelo serviço pelo preço que ele pode perder se o seu sistema passar um dia fora do ar.

Existem modelos internacionais de testes de invasão, mostra-se toda a estrutura e tudo bem bonitinho. Apesar de existirem muitos modelos, todos seguem o mesmo padrão e há muitas semelhanças entre eles, tentei colocar nesse artigo algo meio padrão, espero que gostem. Bom, vamos lá!

  • Planejamento

Essa fase é bem “light”, antes de mais nada você deve fazer a assinatura de um contrato juntamente com o cliente especificando todo o processo que vai ser feito, o que pode ser acessado e dando sua palavra (ninguém quer ser preso) que nenhuma informação será divulgada. A partir dai é feito o levantamento de recursos, infraestrutura e equipamentos que serão usados durante os testes. Não esqueça de especificar prazos e abrir uma cláusula do contrato para especificar o que não pode ser acessado para testes. Lembre-se que você nunca pode fugir do seu alvo, por exemplo:

Imagine que você está verificando se um site tem vulnerabilidade XXX, então no meio dos testes você encontra uma vulnerabilidade YYY, não vá atrás da YYY, mantenha sempre o foco e no relatório final relate que foi encontrada a tal vulnerabilidade YYY.

Durante esse planejamento é especificado o tipo de teste que será feito no ambiente, entre eles estão os mais comuns que posso citar aqui: caixa preta, caixa branca ou caixa cinza (híbrido). De forma genérica, o teste caixa preta é o que mais se aproxima da realidade, pois você faz o papel de um cracker que não sabe nada ou sabe um pouco sobre o sistema. Em testes caixa branca, o pentester é levado até um cenário já destruído e ele pensa o que pode fazer a partir dali. Os testes caixa cinza envolvem um conhecimento bem limitado sobre o alvo, esse tipo de ataque emula a de um funcionário frustrado que foi despedido e etc. Alguns testes podem ser feitos com a consciência da equipe de T.I. que “está sendo atacada”, mas não acho muito interessante esse tipo de ataque, serve para mostrar o tempo de resposta da equipe, mas geralmente os administradores de redes colocam uma solução temporária na rede, pois veem isso como uma ameaça a seu emprego.

  • Execução

Essa parte é bem complicada, pois é dividida em mais partes, em compensação acho a parte mais divertida. Aliás, ser pago para invadir é tão divertido, não? :)

O primeiro passo é a coleta de informações, assim você modela o tipo de ataque e o que pode ser usado. Pode-se vasculhar na internet usando sites de busca, whois, nslookup, dig e outras ferramentas online, técnicas de engenharia social e até mesmo procurar no lixo da empresa que é uma técnica chamada: Dumpster Diving. Essa primeira parte você não tem nenhum contato direto com o alvo, apenas procura em fontes públicas as informações necessárias, é claro que você pode achar mais que deveria.

Duas etapas andam grudadas quando se fala em pentest, é a de mapeamento e identificação, mas é claro que tudo tem sua vez. Deve-se fazer o mapeamento de rotas, de rede, serviços e portas, além da identificação dos hosts e sua hierarquia na rede, é sempre interessante você construir tal topologia desenhando. A parte de identificação é justamente a descoberta de vulnerabilidades, você deve fazer os testes para saber quais os serviços estão vulneráveis ou o que pode ser “explorável” na rede e até mesmo fisicamente.

A parte que chegamos agora é o ataque em si, a exploração. Através das vulnerabilidades e mapeamento, são feitos ataques para a obtenção de acesso não autorizado e visando o mais alto nível de acesso. Nessa parte deve-se fazer detalhadamente a documentação do ataque para que no futuro não seja acusado de nada que não fez, deve-se obter o maior nível de acesso possível fazendo uma escalação de privilégios dentro do sistema.

  • Documentação final / Relatório

TODO o teste deve ser documentado, não se pode esconder absolutamente nada, todas as informações, ferramentas, datas e horas dos testes, lista de vulnerabilidades encontradas e exploradas devem ser colocadas e é claro, as recomendações para melhoria da segurança desse sistema ou aplicação.

  • Dicas

Bom, é visto que esses testes são necessários para uma empresa e deve ser feita gradualmente, o teste de invasão é um ferramenta que traz os resultados de forma mais concreta, é necessário atentar os riscos que as informações dentro da sua empresa sofrem.

Abaixo deixo alguns links que se referem as diversas metodologias de teste de invasão:

OWASP – Open Web Application Security Project
ISSAF – Information Systems Security Assessment Framework
OSSTMM – Open Source Security Testing Methodology Manual
NIST Special Publication 800-42: Guidelines on Network Security Testing
NIST Special Publication 800-115: Technical Guide to Information Security Testing and Assessment

Share.

Deixe uma resposta

7ads6x98y
%d blogueiros gostam disto: