2. Agenda
• Introdução
• Quem sou eu?
• Motivação
• Mercado de Trabalho
• Certificações
• Conformidade (PCI/HIPAA/SOX)
• O que é Penetration Test?
• Tipos de Pentest
3. Agenda - Continuação
• Pentest x Análise de Vulnerabilidades
• Devo realizar um Pentest?
• Pentester
• Conhecimento necessário
• Benefícios
• Fases de um Pentest
• Demo #1
• Demo #2
• Demo #3
7. Quem sou eu? Part II
• Security Consultant – Trustwave Spiderlabs
• 8 anos de experiência
• Eventos
• Black Hat USA
• Black Hat Brazil
• HITB Kuala Lumpur Malásia
• Hackers to Hackers Conference – H2HC
• Secure Brasil
• You Shot the Sheriff - YSTS
• Etc.
8. Quem sou eu? Part III
• uPhisher
• Ulisses Alburquerque
• https://github.com/SpiderLabs/microphisher
10. Motivação – Part II
• Trabalho desafiador
• Amplo mercado de trabalho (Global)
• É um trabalho legal/divertido
• Bem remunerado
11. Mercado de Trabalho
• Global
• Inglês é uma necessidade!
• Muitas oportunidades de trabalho remoto (Home Office)
• Linkedin é seu amigo
• Não faça besteira!!
• Mercado baseado em reputação
• Então não faça besteira!!
13. Certificações – Part II
• Não garantem seu emprego!
• Ajuda? Sim!
• CEH – Fuja! Run to the hills!!! (IMO)
• Offensive Security
• OSCP
• OSWP
• OSCE
• OSEE
• OSWE
14. Certificações – Part III
• SANS
• GIAC *
• Cursos
• Offensive Security
• SANS
• Etc.
15. Certificações – Part IV
• Eventos
• Brasil
• Roadsec
• H2HC
• Silver Bullet
• Bsides
• Etc.
• Exterior
• Defcon (USA)
• Ekoparty (ARG)
• 8dot8 (Chile)
• HITB (NL) (KUL)
• Infiltrate (USA), Thotcon (USA), CCC (DE), Etc.
16. Conformidade
• PCI – PCI Security Standards Council
• HIPAA – The Health Insurance Portability and Accountability Act
• SOX – Sarbanes-Oxley
• Importância (Brasil)
• PCI
• SOX
17. Conformidade – Part II
• PCI Security Standards Council
• https://pt.pcisecuritystandards.org/minisite/en/
• Sarbanes-Oxley
• http://www.soxlaw.com/
• http://pt.wikipedia.org/wiki/Lei_Sarbanes-Oxley
18. O que é Penetration Test?
• A.k.a Pentest
• Tradução literal: “Teste de Penetração”
• Também conhecido por: Teste de Invasão, Ethical Hacking, etc.
• É o processo de identificar e explorar vulnerabilidades em sistemas,
redes, hardware.
• Utiliza-se de diversos métodos: lógicos, físicos e engenharia social.
• Única forma de mensurar o risco real/impacto de uma
vulnerabilidade.
19. Tipos de Pentest
• Milhares de nomenclaturas
• Blind/Black box
• Gray box
• Non Blind/White box
• Externo
• Interno
• Wireless
• Físico
• Engenharia Social
• Aplicação, Etc.
20. Pentest x Análise de Vulnerabilidade
• Muita confusão!
• Pentest não é Análise de Vulnerabilidades
• Análise de Vulnerabilidades não é Pentest
21. Pentest x Análise de Vulnerabilidade – Part II
• Análise de Vulnerabilidades
• Não ocorre a exploração das vulnerabilidades
• Alta ocorrência de falsos positivos
• Pentest
• Ocorre a exploração das vulnerabilidades
• Não existe falsos positivos
• Risco real
22. Devo realizar um Pentest?
• Sim! Claro!
• Quem deve realizar um pentest?
• Ecommerce, SCADA, Gov, Mil, Universidades
• Empresas com mais de 25 funcionários (IMO)
• Etc.
• Porque?
• Simulação real de ataque.
• Avaliação das suas soluções de defesa (firewall, ids, ips, av)
23. Pentester
• Pessoa que faz o teste
• Pentester != Pesquisador
• Brasil
• Consultor de Segurança
• Analista de Segurança
• Analista de Suporte
• Analista de RH, Analista de Software (Oh Wait!)
• Empresas especializadas
• Consultores especializados
24. Pentester – Conhecimento necessário
• Depende!
• Network
• Redes
• Protocolos
• A lot of stuff!
• Application
• Programação
• Protocolos
• A lot of stuff!
25. Pentester – Conhecimento necessário – Part II
• Diferenciais
• Foco
• Aprenda Inglês
• Mas não esqueça do Português!!! <- IMPORTANTE
26. Benefícios
• Rápida avaliação da situação real da segurança da empresa.
• Eficaz
• Ajuda na tomada de decisões (investimentos, alocação de recursos)
• Recomendações direcionadas a sanar um problema
27. Fases de um pentest
• Antes de tudo: contrato e NDA assinados com o cliente!
• Definição de target
• Enumerar e identificar os ativos
• Identificar as vulnerabilidades
• Explorar as vulnerabilidades
• Atividades pós exploratórias
• Coleta de evidências
• Escrita do relatório
29. Demo #1
• CVE-2012-1823: PHP CGI
• Difficulty
• Beginner
• The Bug
• Discovered by Eindbazen
• The bug is due to an error on how the URI is used and provided to PHP CGI
when a URL lacks = sign (typically used to separate parameter's name and
value. Basically, the URI is passed to the php-cgi binary without enough
filtering or encoding allowing an attacker to pass extra-argument to php-cgi
command line.
31. Demo #2
• Axis2 Web service and Tomcat Manager
• Difficulty
• Intermediate
• The Bug
• This exercise explains the interactions between Tomcat and Apache, then it
will show you how to call and attack an Axis2 Web service. Using information
retrieved from this attack, you will be able to gain access to the Tomcat
Manager and deploy a WebShell to gain commands execution.
33. Demo #3
• ECB – Electronic codebook
• Difficulty
• Beginner
• The Bug
• This exercise explains how you can tamper with an encrypted cookies to
access another user's account.
35. Demo #4
• From SQL injection to Shell
• Difficulty
• Beginner
• The Bug
• This exercise explains how you can from a SQL injection gain access to the
administration console. Then in the administration console, how you can run
commands on the system.
42. Relatórios
• Tipos
• Técnico
• Executivo
• Profissionalismo
• Bem escrito
• Opções de idiomas
• Template único
• Entrega via Sistema
• Desenvolva o seu!