O documento descreve as principais etapas de um teste de invasão, incluindo a preparação, coleta de informações, modelagem de ameaças, análise de vulnerabilidades, exploração de falhas, pós-exploração e geração de relatório. A palestrante destaca ferramentas como Nmap, Nikto e Metasploit que podem ser usadas para identificar vulnerabilidades e realizar exploits, e enfatiza os cuidados necessários para evitar problemas legais.
2. Samantha Nunes
• Analista de Qualidade de Software na Take
@samanthamoraisn
• Formada em Ciência da Computação
pela PUC Minas
• Pós-graduada em Segurança da Informação
pela UNA
samanthamoraisnunes@gmail.com
3. Agenda
• Visão geral sobre Segurança da Informação
• Fases de um Teste de invasão
• Demonstrações
• Desafios
4. Cuidado ao realizar
testes de segurança
• Todas as ferramentas que serão mostradas funcionam de
verdade
• Invasão de dispositivos - Pena: Detenção, de 3 (três)
meses a 1 (um) ano, e multa.
5. Mas o que é
“informação”?Um dado pode ser um número, uma palavra e etc
Uma informação é esse dado em um contexto
17. Hackers são presos após roubarem 30
Jeeps usando laptop
Os ladrões utilizavam
o notebook para
invadir o sistema do
veículo, abrir as
portas e iniciar a
ignição.
19. Termos
• Hacker White-hat: utiliza seu conhecimento para testar
sistemas e identificar vulnerabilidade para que sejam
corrigidas
• Hacker Black-hat ou Cracker: Utiliza seus
conhecimentos para invadir sistemas com objetivo de
conseguir acessos não autorizados
20. Termos
• Engenheiro social: Utiliza técnicas para enganar pessoas e
conseguir acesso a informações privilegiadas
• Script Kiddie: Utilizam tutoriais na internet para conseguir
invadir o maior número de sistemas e não tem alvos
definidos
• Defacer: Apenas substitui página principal de sites
• Lamer: Aparenta ter muito conhecimento, mas não na
realidade tem pouco.
21. The only way to
stop a hacker is to
think like one!
Certified Ethical Hacker
22. Sem
conhecimento
sobre o alvo
Tipos de teste
de invasão
Black Box
Conhecimento
parcial
sobre o alvo
Gray Box
Total
conhecimento
sobre o alvo
White Box
23. Fases do teste de
invasãoPreparação
Coleta de informações
Modelagem de Ameaças
Análise de Vulnerabilidades
Exploração de Falhas
Pós-exploração de falhas
Geração de Relatório
1
2
3
4
5
6
7
24. Fases do teste de
invasãoPreparação
Coleta de informações
Modelagem de Ameaças
Análise de Vulnerabilidades
Exploração de Falhas
Pós-exploração de falhas
Geração de Relatório
1
2
3
4
5
6
7
25. Fases do teste de
invasãoPreparação1
Compreender tanto sobre a área de atuação da
empresa quanto sobre o objetivo do testes de
invasão
Falhas de
comunicação
26. Fases do teste de
invasãoPreparação1
Escopo:
1. O que pode ou não ser testado?
27. Fases do teste de
invasãoPreparação1
Escopo:
1. O que pode ou não ser testado?
2. Ao encontrar uma vulnerabilidade, o teste deve
continuar?
Dependendo das vulnerabilidades exploradas,
podem ser expostas informações estratégicas
28. Fases do teste de
invasãoPreparação1
Escopo:
1. O que pode ou não ser testado?
2. Ao encontrar uma vulnerabilidade, o teste deve
continuar?
3. Pode utilizar engenharia social?
29. Fases do teste de
invasãoPreparação1
Janela de testes:
1. Em quais dias os testes poderão ser executados?
2. Em quais horários os testes poderão ser
executados?
30. Fases do teste de
invasãoPreparação1
Informações de contato:
1. Caso algo inesperado ocorra, quem deverá ser
acionado?
31. Fases do teste de
invasãoPreparação1
Cartão para “Sair da cadeia livremente”:
1. Quem está autorizando este teste?
Cuidado ao realizar testes
de segurança
32. LEI Nº 12.737 - Lei “Carolina Dieckmann”
Dispõe sobre a tipificação criminal de
delitos informáticos e dá outras providências
Cuidado ao realizar testes
de segurança
33. Art. 154-A. Invadir dispositivo informático alheio, conectado
ou não à rede de computadores, mediante violação indevida
de mecanismo de segurança e com o fim de obter, adulterar
ou destruir dados ou informações sem autorização expressa
ou tácita do titular do dispositivo ou instalar
vulnerabilidades para obter vantagem ilícita:
Pena - detenção, de 3 (três) meses
a 1 (um) ano, e multa.
Cuidado ao realizar testes
de segurança
34. Pena - detenção, de 3 (três) meses
a 1 (um) ano, e multa.
§ 1° Incorre na mesma pena quem interrompe serviço
telemático ou de informação de utilidade pública, ou
impede ou dificulta-lhe o restabelecimento.
Cuidado ao realizar
testes de segurança
35. Fases do teste de
invasãoPreparação1
Termos de pagamento:
1. Qual o valor a ser pago pelo serviço?
2. Qual é o acordo de confidencialidade?
3. Limite de responsabilidade
36. Fases do teste de
invasãoPreparação
Coleta de informações
Modelagem de Ameaças
Análise de Vulnerabilidades
Exploração de Falhas
Pós-exploração de falhas
Geração de Relatório
2
3
4
5
6
7
1
37. Fases do teste de
invasãoColeta de informações2
O objetivo dessa fase é conhecer o cliente
38. Fases do teste de
invasãoColeta de informações2
1. WaybackMachine
39. Fases do teste de
invasãoColeta de informações2
1997
2015
2017
40. Fases do teste de
invasãoColeta de informações2
2. Vagas de emprego
Através de vagas de emprego, dependendo do detalhamento, é
possível compreender toda a infraestrura e sistemas utilizados
44. Fases do teste de
invasãoColeta de informações2
4. Google Hacking
Encontrar arquivos dentro de sites, páginas que deveriam ser secretas, lista
de e-mails, lista de senhas e etc com a utilização de comandos
45. Fases do teste de
invasãoColeta de informações2
4. Google Hacking
backup filetype:sql
Usando Filetype é possível
encontrar arquivos com
extensões específicas
46.
47. Fases do teste de
invasãoColeta de informações2
1. Google Hacking
site gov br filetype xls
contato
48. Fases do teste de
invasãoColeta de informações2
4. Google Hacking
+site: gov.br
+filetype:sql
+password
49. Fases do teste de
invasãoColeta de informações2
4. Google Hacking
Robots.txt
Controlem permissões de acesso a
determinadas páginas ou pastas dos
sites.
O robots.txt controla qual informação
de um site deve ou não deve ser
indexada pelos sites de busca.
50. Fases do teste de
invasãoColeta de informações2
4. Google Hacking
51. Fases do teste de
invasãoColeta de informações2
5. Ferramentas de busca forense
OSINT Framework
52. 1. Procura por dispositivos
conectadosSHODAN
The World's Most Dangerous Search Engine
58. Fases do teste de
invasão
Engenharia
Social
A engenharia social pode ser definida como a ação de
tentar obter informações ou influenciar alguém a
realizar alguma ação apoiando-se na confiança de
outras pessoas
60. Fases do teste de
invasão
Engenharia
Social
Spear Phishing
61. Fases do teste de
invasãoPreparação
Coleta de informações
Modelagem de Ameaças
Análise de Vulnerabilidades
Exploração de Falhas
Pós-exploração de falhas
Geração de Relatório
2
3
4
5
6
7
1
62. Fases do teste de
invasãoModelagem de Ameaças3
As informações encontradas na fase de coleta de
informações serão utilizadas como base para
analisar como poderia ocorrer um ataque
63. Fases do teste de
invasãoPreparação
Coleta de informações
Modelagem de Ameaças
Análise de Vulnerabilidades
Exploração de Falhas
Pós-exploração de falhas
Geração de Relatório
2
3
4
5
6
7
1
64.
65. Fases do teste de
invasãoAnálise de Vulnerabilidades4
1. Nmap
• Descoberta de hosts - Identificando hosts na rede.
• Scanner de portas - Mostrando as portas TCP e UDP abertas.
• Detecção de versão - Interrogando serviços na rede para
determinar a aplicação e o número da versão.
• Detecção do sistema operacional
• Interação com scripts com o alvo - Usando Nmap Scripting
Engine
66. Fases do teste de
invasãoAnálise de Vulnerabilidades4
2. Nikto
67. Fases do teste de
invasãoExploração de Falhas5
OWASP Zed Attack Proxy
Project - OWASP
Open Web Application
Security Project
Top Ten OWASP
68. Fases do teste de
invasãoAnálise de Vulnerabilidades4
3. Análise manual
69. Fases do teste de
invasãoPreparação
Coleta de informações
Modelagem de Ameaças
Análise de Vulnerabilidades
Exploração de Falhas
Pós-exploração de falhas
Geração de Relatório
2
3
4
5
6
7
1
70. Fases do teste de
invasãoExploração de Falhas5
Nessa fase são executados exploits
Dados, comandos ou
códigos executáveis
capazes de aproveitar
as vulnerabilidades de
sistemas
71. Fases do teste de
invasãoExploração de Falhas5
Metasploit
Possui centenas de
exploits e ferramentas
muito avançadas que
nos permite testar
vulnerabilidades em
muitas plataformas,
sistemas operacionais
e servidores
72. Fases do teste de
invasãoExploração de Falhas5
Meterpreter
Vai permitir enviar
comandos para o
sistema invadido com
exploit
Visualizar informações de rede
meterpreter > ipconfig
Exibir qual o usuários está executando o Meterpreter
meterpreter > getuid
Logar como system
meterpreter > getsystem
Ganhar privilegios
meterpreter > user priv
Executar um comando na maquina remota
meterpreter > execute -f cmd.exe -i –H
Usar o shell (prompt) remoto
meterpreter > shell
75. Fases do teste de
invasãoPreparação
Coleta de informações
Modelagem de Ameaças
Análise de Vulnerabilidades
Exploração de Falhas
Pós-exploração de falhas
Geração de Relatório
2
3
4
5
6
7
1
76. Fases do teste de
invasãoPós-exploração de falhas6
• Analisar as informações sobre o sistema invadido e são
verificadas o que é possível realizar com o acesso adquirido
• Avaliar quais dessas vulnerabilidades são relevantes
77. Fases do teste de
invasãoPreparação
Coleta de informações
Modelagem de Ameaças
Análise de Vulnerabilidades
Exploração de Falhas
Pós-exploração de falhas
Geração de Relatório
2
3
4
5
6
7
1
78. Fases do teste de
invasãoGeração de Relatório7
• Sumário executivo: Descreve os objetivos do teste e
oferece uma visão geral dos resultados levando em
consideração que o público alvo são os executivos
responsáveis pelo projeto
• Relatório técnico: Nesta seção estão presentes todos os
detalhes técnicos da realização dos testes considerando
que o público alvo são os responsáveis por implementar
as melhorias.
79. Fases do teste de
invasãoPreparação
Coleta de informações
Modelagem de Ameaças
Análise de Vulnerabilidades
Exploração de Falhas
Pós-exploração de falhas
Geração de Relatório
1
2
3
4
5
6
7
Um dado pode ser um número, uma palavra
Uma informação é esse dado em um contexto
Conhecimento e a aplicação de ações sobre essa informação.
Exemplo de eleições
Um dado pode ser um número, uma palavra
Uma informação é esse dado em um contexto
Conhecimento e a aplicação de ações sobre essa informação.
Exemplo de eleições
https://haveibeenpwned.com/
https://hashes.org/public.php
Diversas instituições[1] dos mais diversos segmentos estão sendo atacadas pelo ransomware WannaCry, o malware vem se espalhando rapidamente tendo como principal vetor de exploração a vulnerabilidade MS17-010[2] presente em todas as versões do sistema operacional Windows.
http://map.norsecorp.com/#/ Monita o tráfego mundial
Wesley Silva
Juliano Sato
LOIC é um programa de computador de código aberto escrito em C#[1] que tem como objetivo executar um ataque de negação de serviço (também conhecido como DDoS, do inglês "Distributed Denial of Service"). O programa foi desenvolvido pela Praetox Technologies em 2006 com o intuito de avaliar e testar redes, sendo depois disponibilizado para domínio público. O nome LOIC é a abreviação de Low Orbit Ion Cannon, uma arma fictícia existente no jogo de vídeo game Command & Conquer.[2][3]
Uma versão em JavaScript foi escrita para permitir seu uso a partir de um navegador.[4]
KeePass is an open source password manager. Passwords can be stored in highly-encrypted databases, which can be unlocked with one master password or ..
Script Kiddie geralmente tilizam tutoriais e não tem um alvo, então qualquer um que esteja vulnerável pode ser vítima desse tipo de invasão
Os hackers pensam em como eu posso chegar no mesmo resultado só que de uma forma diferente
Gray box: saber se uma pessoa de marketing poderia acessar documentos do financeiro
White box: saber se um funcionário admin fosse demitido o que ele poderia fazer? Saber as senhas de usuários de diretores
É muito importante o alinhamento com os clientes, falhas de comunicação podem trazer muitos transtornos. Por isso temos algumas perguntas para serem respondidas.
Dependendo do teste, um sistema pode ser danificado e se a empresa não tiver backup pode ser complicado.
Vamos considerar o exemplo de um sistema hospitalar. É necessário compreender até que ponto o sistema pode ser testado. E uma outra coisa importante. Como durante os testes servidores podem ser desativados, é necessário mapear caso algo inesperado aconteça o que pode ser impactado.
Para saber o que pode ser obtido ao explorar esta falha, pois dependendo das vulnerabilidades podem ser expostas informações estratégicas;
Para saber o que pode ser obtido ao explorar esta falha, pois dependendo das vulnerabilidades podem ser expostas informações estratégicas;
Vamos considerar o exemplo de um sistema hospitalar. É necessário compreender até que ponto o sistema pode ser testado. E uma outra coisa importante. Como durante os testes servidores podem ser desativados, é necessário mapear caso algo inesperado aconteça o que pode ser impactado.
Vamos considerar o exemplo de um sistema hospitalar. É necessário compreender até que ponto o sistema pode ser testado. E uma outra coisa importante. Como durante os testes servidores podem ser desativados, é necessário mapear caso algo inesperado aconteça o que pode ser impactado.
´´E necessário ter conhecimento e consciência de que a utilização de algumas ferramentas de teste poderão impactar negativamente o ambiente de uma empresa, podendo causa inclusive a negação de serviço. Portanto não testem em qualquer site pois é considerado crime
A forma tácita é aquele acordo verbal, o que se subentende.A forma expressa, ou formal, é aquela que obedece um procedimento de formalização. É o acordo no papel. Esta é mais forte por tornar público o acordo. Ou seja, qualquer um pode pegar o instrumento firmado e constatar qual acordo foi feito.
Ataque DoS ou negação de serviço
´´E necessário ter conhecimento e consciência de que a utilização de algumas ferramentas de teste poderão impactar negativamente o ambiente de uma empresa, podendo causa inclusive a negação de serviço. Portanto não testem em qualquer site pois é considerado crime
É necessário ter bem claro até onde é responsabilidade do teste algum dano que ocorrer no sistema, pois senão você pode ser processado dependendo do que acontecer, no caso de testes internos é bom ter o acompanhamento de alguém da área de infra tanto para criar a estratégia de teste quanto para acompanhamento
Saber dados do site da empresa. Exemplo fredmoreira.com
As informações podem ser usadas em uma engenharia social
Saber a evolução do site, procurar e-mails de contato que ainda possam ser utilizados. Biblioteca digital.
Saber dados do site da empresa. Exemplo fredmoreira.com
As informações podem ser usadas em uma engenharia social
Através de vagas de emprego, dependendo do detalhamento, é possível compreender toda a infra e sistemas utilizados
Isso pode ser realizado de diversas formas, como pesquisa em fontes abertas, pesquisa nas redes sociais da empresa e até nos requisitos para uma vaga de emprego podem ter informações importantes sobre a infraestrutura, sistemas operacionais utilizados e etc.
Muitas empresas contam como é a estrutura interna em uma descrição de vaga de emprego. E como isso pode ajudar? Você pode a partir das informações disponibilizadas escanear, na faixa de endereçamento da empresa, e tentar identificar quais máquinas estão com o sistema descrito e tentar explorar vulnerabilidades que já foram descobertas e que podem ser encontradas em base de dados de vulnerabilidades como o:
Saber dados do site da empresa. Exemplo fredmoreira.com
As informações podem ser usadas em uma engenharia social
https://registro.br/2/whois
http://www.whatsmyip.org/whois-dns-lookup/
Saber dados do site da empresa. Exemplo fredmoreira.com
As informações podem ser usadas em uma engenharia social
Saber dados do site da empresa. Exemplo fredmoreira.com
As informações podem ser usadas em uma engenharia social
Saber dados do site da empresa. Exemplo fredmoreira.com
As informações podem ser usadas em uma engenharia social
Saber dados do site da empresa. Exemplo fredmoreira.com
As informações podem ser usadas em uma engenharia social
Com o resultado dessa busca, temos a informação valiosa de quais serviços ou diretórios estão publicados e em funcionamento, aumentando consideravelmente os riscos para que atacantes encontrem alguma pasta com falha nas permissões do diretório, e assim, alterar não só o site da organização mas prejudicar a imagem de uma empresa que levou tanto tempo para se firmar no mercado e demonstrar confiança nos seus negócios.
Saber dados do site da empresa. Exemplo fredmoreira.com
As informações podem ser usadas em uma engenharia social
Saber informações sobre todos os dispositivos conectados
Saber informações sobre todos os dispositivos conectados
Saber informações sobre todos os dispositivos conectados
A primeira é a ferramenta SHODAN, diariamente seus scripts varrem a internet em busca de qualquer coisa conectada na rede e tudo vai sendo salvo em um grande banco de dados para consultas, fazendo as perguntas corretas é possível rastrear qualquer coisa conectada, desde câmeras de segurança a servidores rodando qualquer tipo de aplicação e até mesmo sites que foram hackeados como mostro no exemplo acima.
Saber informações sobre todos os dispositivos conectados
Isso pode ser realizado de diversas formas, como pesquisa em fontes abertas, pesquisa nas redes sociais da empresa e até nos requisitos para uma vaga de emprego podem ter informações importantes sobre a infraestrutura, sistemas operacionais utilizados e etc.
Cases do livro a arte de enganar
Cases do livro a arte de enganar
Cases do livro a arte de enganar
Saber informações sobre todos os dispositivos conectados
Usar o site pucminas.br como exemplo
Nmap, verificar as portas abertas ou seja, que não estão protegidas por firewall
É um scanner de vulnerabilidade web que procura por versões desatualizadas e erros de configuração
Ping minastestingconference.com.br
Nikto
Nikto –h 54.231.168.243
Nmap, verificar as portas abertas ou seja, que não estão protegidas por firewall
Mostrar o site da puc login
Nmap, verificar as portas abertas ou seja, que não estão protegidas por firewall
Metasploit frameworkEle possui centenas de exploits, payloads e ferramentas muito avançadas que nos permite testar vulnerabilidades em muitas plataformas, sistemas operacionais e servidores.14 de abr de 2009
Metasploit frameworkEle possui centenas de exploits, payloads e ferramentas muito avançadas que nos permite testar vulnerabilidades em muitas plataformas, sistemas operacionais e servidores.14 de abr de 2009
msfadmin
Nessa fase são analisadas as informações sobre o sistema invadido e são verificadas o que é possível realizar com o acesso adquirido, por exemplo acessar arquivos ou elevar nível de privilégio do usuário e analisar até onde é possível chegar. Após a realização dessa fase é necessário avaliar quais dessas vulnerabilidades são relevantes para o cliente, pois pode acontecer que um sistema invadido não dê acesso a nenhum possível alvo relevante.
Nmap, verificar as portas abertas ou seja, que não estão protegidas por firewall