O objetivo é mostrar como obter melhores resultados em Testes de Penetração através da metodologia utilizada em Modelagem de Ameaças.
Porque nem sempre o objetivo é ganhar o Root.
Ii congresso de crimes eletrônicos e formas de proteção – 27 09-2010 – aprese...
Modelagem de Ameaças para Pentester - menos de
1. Modelagem de Ameaças para
Pentester
Porque nem sempre o objetivo é ganhar o Root
Leandro Rocha
Security BSides São Paulo (Co0L BSidesSP) - Edição 10
2. SOBRE
• Consultor na Conviso Application Security
• Formado em Sistemas - PUC
• Membro do Staff H2HC
• Pai
3. Palavras que não pronuncio!
P + U + T + A
C + U || K + U
F + O + D + A || E || I
M + E + R + D + A
7. ATACANTE
Aquele que causa dano, pode ser uma
Pessoa ou um Desastre Natural
O dano pode ser Intencional, acidental, manual,
automatizada, escolhida a dedo, escolhida a esmo e etc..
8. ATIVO
Item de valor para o atacante
Valor para você
≠
Valor para o Atacante
9. VULNERABILIDADE
É o mecanismo utilizado pelo atacante
para realizar a ameaça
Bugs, falhas de desenho, falhas de processo, falhas de
implementação, etc…