Palestra sobre Pentest utilizando o Kali Linux para apresentar a metodologia de um ataque X defesa hacker. O kali linux é um sistema operacional voltado a pericia forence e ethical hacking.
2. Quem é esse ai?
Alcyon Junior, evangelizador do software livre, é Chief
Security Officer no Ministério das Comunicações,
Consultor de Segurança Cibernética das Nações Unidas,
Professor na Univesidade Católica de Brasília e
mantenedor do Portal TIC http://portaltic.com.
● Três graduações em Tecnologia de Informação, com ênfase
em redes de computador.
● Certificado em :
– ISFS ISO/IEC 27002
– CNAP
– LPIC-1
– Macfee Vulnerability Manager
● Pós-graduado em Redes de Computador pela CISCO
● MBA em Governança de TI.
● Mestrando em Gestão do Conhecimento e da Tecnologia da
Informação com ênfase em Segurança Cibernética pela
Universidade Católica de Brasília.
4. 08/12/17 Alcyon Junior - alcyon@portaltic.com 4
O que é segurança?
Segurança é um estado.
Em um momento você pode
parecer seguro, em outro
não.
5. 08/12/17 Alcyon Junior - alcyon@portaltic.com 5
História da Segurança
O homem das cavernas e seu clube
6. 08/12/17 Alcyon Junior - alcyon@portaltic.com 6
A Idade da Pedra / Paleolítico
Os homens das cavernas usado
originalmente rochas , frutos , galhos e
outros recursos naturais para afastar
predadores e manter-se fora de perigo .
Eventualmente, as pessoas caverna
aperfeiçoados essas ferramentas
rudimentares e criou lanças, arcos e
flechas, e engenhocas estilingue para
caçar alimentos e aumentar suas
chances de sobrevivência.
Cães de Guarda
7. 08/12/17 Alcyon Junior - alcyon@portaltic.com 7
30.000 aC
A maioria dos estudos sugerem que a
domesticação de cães remonta de 30000 aC.
Filhotes de lobos órfãos foram resgatados por
seres humanos e criados juntamente com os
bebês .
Com o tempo, esses lobos domesticados
evoluiu para as espécies de cães que
conhecemos hoje. Os cães foram usados caça
e pastoreio e suas personalidades leais levou
a tornar-se cães de guarda fiéis.
8. 08/12/17 Alcyon Junior - alcyon@portaltic.com 8
Fosso em torno do castelo
3150 aC
Um fosso , a grande trincheira ou
vala em torno de um castelo, foi
criado para proteger a fortaleza
em tempos perigosos.
Datado do antigo Egito até os
tempos modernos , eles foram a
primeira linha de defesa em
manter as pessoas seguras.
Guardas e Seguranças
9. 08/12/17 Alcyon Junior - alcyon@portaltic.com 9
Revolução industrial 1760-1840
À medida que o mundo se tornou mais industrial e
militarista, um número crescente de indivíduos e empresas
começaram a contratar os serviços de guardas de
segurança para proteção pessoal. A questão da segurança
pessoal foi fundamental para os membros da família real,
bem como membros da alta sociedade.
Ao longo dos anos , o papel do agente de segurança
evoluiu para ter em conta a segurança pessoal, a
segurança de um ambiente. A revolução industrial
provocou um aumento nas serviços de segurança à
medida que mais pessoas detinham propriedades. Hoje,
muitas empresas, como bancos e escolas, contratar
seguranças para proteção.
10. 08/12/17 Alcyon Junior - alcyon@portaltic.com 10
Alarme de Segurança
1850
Home sistemas de segurança remontam mais longe do que
você possa imaginar. Apesar de fossos e guardas armados
estão em vigor para proteger casas durante séculos , com a
invenção da eletricidade , a arte de proteção para casa foi
muito melhorada. Em 1853 , a primeira patente sobre alarmes
electro-magnéticos significava que as empresas e os residentes
ricos podiam proteger objetos de valor.
Contatos magnéticos foram instaladas nas janelas e portas que
, quando acionado, mandaria um sinal através de ligações
eletromagnética e soar um alarme . Estes sistemas de
segurança inovadores foram eficazes para dissuadir
arrombamentos ocorra.
CÓDIGO MILITAR (criptografia)
11. 08/12/17 Alcyon Junior - alcyon@portaltic.com 11
1800 à 1900
Os homens das cavernas usado originalmente
rochas , frutos , galhos e outros recursos
naturais para afastar predadores e manter-se
fora de perigo . Criptografia é uma forma
comum de codemaking e codebreaking
durante a Guerra Civil.
Embora a criptografia tem uma longa e
complexa história que remonta ao hieróglifos
em 1900 aC , não foi até o século 19 , que se
desenvolveu nas mais modernas técnicas de
criptografia que usamos hoje.
Cofres
12. 08/12/17 Alcyon Junior - alcyon@portaltic.com 12
Séculos 18 e 19
Antes de técnicas de metalurgia de aço e moderno
popularizou cofres , salas de reforço foram
utilizados para o mais alto nível de segurança.
Como o aço tornou-se um elemento mais popular
para a fabricação, cofres começaram a aparecer
em bancos, grandes empresas , casinos , escolas
e edifícios militares para armazenar a propriedade
intelectual, dinheiro, ou até mesmo objetos
perigosos. Cofres modernos apresentam paredes
mais do que um pé de espessura, revestido com
concreto reforçado. Cofres bem construídos
incluem alguns dos mecanismos de bloqueio mais
complicados conhecidos pelo homem.
A proteção contra gravação
nos disquetes
13. 08/12/17 Alcyon Junior - alcyon@portaltic.com 13
1990
Quando disquetes ainda eram
predominantes no mundo da
tecnologia , muitas pessoas de
TI empregados a proteção
contra gravação em disquetes
para proteger contra alguém
invadir um computador ou
servidor remotamente
enquanto o disco estava sendo
usado , ou para impedi-lo de
apagar arquivos importantes .
14. 08/12/17 Alcyon Junior - alcyon@portaltic.com 14
Tokenization e Encriptação
Século 21
Tokenization e Encriptação são
processos usados para proteger as
informações em trânsito e em
repouso. Ela envolve tanto a
substituição ou transformar o texto
original em uma forma que é
ilegível para pessoas não
autorizadas. Estas técnicas são
utilizadas para proteger as
informações confidenciais
armazenadas e processadas
através de redes ea nuvem /
internet e dispositivos móveis e
sem fio.
15. 08/12/17 Alcyon Junior - alcyon@portaltic.com 15
Vamos pensar um pouco?
“Se você acredita que a tecnologia pode resolver
seus problemas de segurança, então você não
conhece os problemas e nem a tecnologia.”
Bruce Schneier
22. 08/12/17 Alcyon Junior - alcyon@portaltic.com 22
PenTest, o que é isso?
As invasões reais são realizadas por pessoas com alto nível de
conhecimento técnico, com focos específicos em determinadas
instalações ou empresas.
Existe vários motivos pessoal, por questões financeiras, na
intenção de cometer fraudes ou até mesmo contratados por
empresas concorrentes para espionagem ou sabotagem.
Existe também uma categoria de profissionais que são
contratados pelas empresas para testar seus próprios sistemas de
segurança, essa atividade se chama de PenTest (PenetrationTest
ou Teste de Penetração).
23. 08/12/17 Alcyon Junior - alcyon@portaltic.com 23
●
Coleta de Informações
●
Mapeamento da rede
●
Enumeração de serviços
●
Busca por vulnerabilidades
●
Exploração das vulnerabilidades
●
Implantação de Backdoors e Rootkits
●
Eliminação de Vestígios
●
Formas de Prevenção
Passos do PenTest
24. 08/12/17 Alcyon Junior - alcyon@portaltic.com 24
PenTest - Coleta de Informações
● Atividades da empresa;
● Composição acionária;
● Nomes de sócios, diretores, gerentes de TI,
administradores da rede;
● Filiais e empresas coligadas;
● Endereços de homepages e e-mails;
Esse tipo de invasão é uma atividade coordenada e cuidadosamente planejada, que
passa por diversas etapas:
Antes de iniciar qualquer tentativa de invasão, devemos coletar o máximo de
informações a respeito da empresa atacada. Uma pesquisa no Google pode ser um bom
começo para saber o que existe de informação disponível na internet, a respeito de:
25. 08/12/17 Alcyon Junior - alcyon@portaltic.com 25
PenTest - Mapeamento da rede
O objetivo dessa fase é tentar descobrir a topologia da rede: quantos computadores
existem e como estão interligados.
Para isso, podemos iniciar com uma pesquisa nos servidores de DNS da empresa.Um
servidor DNS é responsável pela mapeamento dos nomes de domínio
(ex:servidor.empresa.com) para endereços IP (ex: 200.100.200.50).
.
26. 08/12/17 Alcyon Junior - alcyon@portaltic.com 26
PenTest - Enumeração de serviços
Uma feita já foram descobertas as máquinas existentes na rede, procuramos descobrir
quais os serviços que estão sendo executados em cada uma delas. Um serviço não é nada
mais do que um programa que fica aguardando conexões numa determinada “porta”.
Por exemplo, todas as conexões de páginas web são feitas para a porta de número 80.
● As portas de numeração 1 à 1024 (de um total de 65.535) são padronizadas de
acordo com o tipo de serviço. Assim, se encontramos a porta 22 aberta,podemos ter
quase certeza que existe um serviço SSH (terminal remoto), assim como a porta 25
implicaria num serviço de e-mail.
Só não podemos ter certeza sobre o serviço que está “escutando” uma determinada porta
porque essas numerações são padronizadas, mas não obrigatórias. Nada impede que o
administrador disponibilize um serviço SSH na porta 25, por exemplo.
27. 08/12/17 Alcyon Junior - alcyon@portaltic.com 27
PenTest - Busca por vulnerabilidades
Uma vulnerabilidade de um software é decorrente de um projeto deficiente ou erro de
programação.
● Quando uma vulnerabilidade é descoberta por incontáveis pesquisadores ao redor
do mundo, o fabricante do software é notificado e a vulnerabilidade é divulgada em
sites especializados para que todos tomem conhecimento da sua existência e tomem
as providências necessárias para eliminar esse risco.
● Isso geralmente é atingido com a aplicação de uma Correção ou Patch,
disponibilizado pelo fabricante do software.
● Se o administrador da rede não aplicou as devidas correções num determinado
software, pode ser que ele possa ser explorado para a invasão.
28. 08/12/17 Alcyon Junior - alcyon@portaltic.com 28
PenTest - Exploração das vulnerabilidades
Dependendo do tipo de vulnerabilidade encontrada, a invasão será mais ou
menos efetiva. Algumas vulnerabilidades permitem apenas a interrupção do
serviço, ao qual damos o nome de ataque DOS (Denial of Service ou Negação
deServiço).
As vulnerabilidades mais perigosas são as que permitem a execução de
programas e comandos no computador remoto.
Outro exemplo de ataque perigoso é o do tipo SQL Injection, feito em
aplicações web mal feitas, permite desde a consulta direta à um banco de dados.
Muitos desses ataques podem ser feitos com uso de programas ou scripts
prontos, chamados de exploits.
29. 08/12/17 Alcyon Junior - alcyon@portaltic.com 29
PenTest - Implantação de Backdoors e Rootkits
Uma vez que o invasor tenha obtido sucesso na sua investida, é comum que ele implante
programas que facilitem o seu retorno.
São os chamados Backdoors,ou literalmente “porta dos fundos”. Além disso ele pode
implantar os chamados Rootkits, que são programas que se agregam ao núcleo do
sistema operacional,dificultando a sua localização.
30. 08/12/17 Alcyon Junior - alcyon@portaltic.com 30
PenTest - Eliminação de Vestígios
Toda invasão deixa rastros no computador atacado, seja nos logs (históricos) do sistema
ou seja em forma de arquivos temporários.
Para dificultar a identificação da sua presença, o bom atacante procura eliminar esses
vestígios,requerendo uma intervenção muito mais minuciosa na investigação do
incidente e muitas vezes impossibilitando rastrear sua origem.
31. 08/12/17 Alcyon Junior - alcyon@portaltic.com 31
PenTest - Formas de Prevenção
Uso de firewall, IDS e IPS: O firewall é um elemento indispensável na sua rede, para
controlar e impedir os acessos indesejáveis. Hoje é simplesmente inaceitável que se
tenha uma rede conectada na internet sem um firewall.
Os antivírus são programas de computador concebidos para prevenir, detectar e eliminar
vírus de computador.
O uso de IDS (Intrusion Detection System ou Sistema de Detecção de Intrusão)e um IPS
(Intrusion Prevention System ou Sistema de Prevenção de Intrusão),são elementos
desejáveis para uma defesa efetiva.
32. 08/12/17 Alcyon Junior - alcyon@portaltic.com 32
PenTest - Formas de Prevenção
● Serviços desnecessários: todos os serviços que não estiverem sendo efetivamente
usados, devem ser desabilitados. Além de serem itens adicionais para atualizações
de segurança, são pontos adicionais em potencial para serem explorados.
● Atualização e Configuração: é indispensável que todos os serviços disponíveis para
internet estejam com as últimas atualizações de segurança aplicadas e,
principalmente, corretamente configurados. Falhas de configurações são grandes
causas de incidentes de segurança.
● Monitoração constante: a monitoração das atividades da rede devem fazer parte da
rotina diária de um administrador de redes. Só assim você poderá perceber
anomalias no seu funcionamento. Deve ser incluída nessa rotina, amonitoração dos
logs, também para detectar registros de ocorrências anormais.
● O uso de ferramentas que detectem modificações nos arquivos do sistema também é
uma medida desejável. Uma ferramenta gratuita que pode ser utilizada para esse
fim, é o tripwire.