"Técnicas e Ferramentas para Auditorias Testes de Invasão"

3.576 visualizações

Publicada em

No dia 1 de dezembro de 2011 Rafael Soares, Diretor Técnico do Grupo Clavis, palestrou sobre o tema "Técnicas e Ferramentas para Auditorias Testes de Invasão" na UNICARIOCA. Rafael abordou algumas das principais técnicas e ferramentas para realização de auditoria do tipo teste de invasão, tanto em redes e sistemas quanto em aplicações web. Uma série de estudos de casos relacionados com as atividades da auditoria tipo teste de invasão também foram apreciadas. Veja abaixo os slides da palestra apresentada na UNICARIOCA.

Publicada em: Tecnologia
0 comentários
2 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
3.576
No SlideShare
0
A partir de incorporações
0
Número de incorporações
294
Ações
Compartilhamentos
0
Downloads
125
Comentários
0
Gostaram
2
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

"Técnicas e Ferramentas para Auditorias Testes de Invasão"

  1. 1. Técnicas e Ferramentas paraAuditorias Testes de Invasão Rafael Soares Ferreira Sócio Diretor Clavis Segurança da Informação rafael@clavis.com.br
  2. 2. $ whoami•  Sócio Diretor do Grupo Clavis•  Auditor de Segurança•  Instrutor e Palestrante•  Áreas de interesse:Análise forense computacional;Detecção e resposta a incidentes de segurança;Testes de invasão em redes, sistemas e aplicações.
  3. 3. Conceitosl  Atividade técnica controladal  Teste de segurançal  Simulação de ataques Tentativas de obtenção de acesso não autorizado a ativosl de informação
  4. 4. Justificativa e Motivação Avaliar os riscos e vulnerabilidades reais presentes no seul negócio• Determinar se os investimentos atuais estão realmentedetectando e prevenindo ataques• Conformidade com normas internacionais• Milestone para projetos entrarem ou não em produção(“go live”)
  5. 5. PenTest X Ataque Reall  Metodologial  Documentaçãol  Preocupação com o Clientel  Limitaçõesl  Autorização documentadal  Integridade
  6. 6. Planejamento e Preparaçãol  Detalhes da Infraestrutura    l  Acordo de confidencialidade (NDA)    l  Equipamento e recursos necessários  l  Relatório de linha do tempol  Acesso a testes anterioresl  Inspeção físical  Tratamento de questões especiaisl  Limitações de Tempo
  7. 7. Planejamento e Preparaçãol  Objetivo/Propósitol  Alvosl  Profundidadel  Exclusões
  8. 8. Tipos de Teste>> O que você sabe sobre o ambiente? Blind (caixa preta) Open (caixa branca)>> O que o ambiente sabe sobre você? Teste anunciado Teste Não-anunciado
  9. 9. Etapas de um PenTest •  Obtenção  de  Informações  e  Mapeamento   •  Iden4ficação  de  Vulnerabilidades   •  Análise  e  Exploração    
  10. 10. Obtenção de Informaçõese Mapeamento Nmap   Iden4fica  hosts  vivos,  estado  de  portas,  serviços  e  sistemas   operacionais     Xprobe   Fingerprint  de  sistemas  operacionais     P0f   Iden4ficação  passiva  de  SO  
  11. 11. Identificação de Vulnerabilidades NESSUS  Professional  Edi4on   Iden4fica  Vulnerabildiades  em  sistemas,  serviçoes  e   aplicações.     QualysGuard   Iden4fica  vulnerabilidades,  correções  pendentes  e   existência  de  exploits  públicos  para  tais  vulnerabilidades.  
  12. 12. Identificação de Vulnerabilidades w3af   Verifica  a  possibilidade  de  execução  de  ataques  do  4po   injeção  de  SQL,  cross  site  scrip4ng  (XSS),  inclusão  de   arquivos  locais  e  remotos,  entre  outros.       Nikto   Verifica  a  existência  de  versões  desatualizadas,  problemas   em  versões  específicas  e  ítens  de  configuração  do  servidor.  
  13. 13. Análise e Exploração Metasploit  Framework  /  Express  /  Pro   Relaciona  Vulnerabilidades  descobertas  com  uma  base  de   exploits  e  faz  tenta4vas  de  invasão.     Sqlmap   Avalia  a  possibilidade  de  injeções  em  aplicações  e  uiliza  o   padrões  de  resposta  para  mapear  versões  de  banco.  
  14. 14. Análise e Exploração Webscarab  /  Paros  /  BurpSuite   Intercepta  requisições  para  manipular  campos  e  parâmetros   burlando  controles  client  side  e  forjando  requisições   inválidas.     LOIC  /  Hping  /T50   Fazem  ataques  de  Negação  de  Serviço     John  the  ripper  /  Hydra   Efetua  ataques  de  Força  Bruta  
  15. 15. Análise e Exploração Wireshark  /  TCPdump  /  Edercap  /  Dsniff     Verifica  se  é  possível  iden4ficar  e  obter  informações   sensíveis  através  da  manipulação  de  tráfego  de  rede     Aircrack-­‐ng  /  Kismet   Avalia  exposição  de  dados  e  configurações  em  redes  sem  fio  
  16. 16. Modelos e Referências>> OWASPOpen Web Application Security Project>> OSSTMMOpen Source Security Testing Methodology Manual>> NIST 800.42Guideline on Network Security Testing>> ISSAFInformation Systems Security Assessment Framework
  17. 17. Dúvidas? Perguntas? Críticas? Sugestões?
  18. 18. Muito Obrigado! rafael@clavis.com.br @rafaelsferreira Rafael Soares Ferreira Sócio Diretor Clavis Segurança da Informação

×