"técnicas e ferramentas para auditorias testes de invasão"
DESCRIPTION
No dia 1 de dezembro de 2011 Rafael Soares, Diretor Técnico do Grupo Clavis, palestrou sobre o tema "Técnicas e Ferramentas para Auditorias Testes de Invasão" na UNICARIOCA. Rafael abordou algumas das principais técnicas e ferramentas para realização de auditoria do tipo teste de invasão, tanto em redes e sistemas quanto em aplicações web. Uma série de estudos de casos relacionados com as atividades da auditoria tipo teste de invasão também foram apreciadas. Veja abaixo os slides da palestra apresentada na UNICARIOCA.TRANSCRIPT
Técnicas e Ferramentas para Auditorias Testes de Invasão
Rafael Soares Ferreira Sócio Diretor Clavis Segurança da Informação [email protected]
• Sócio Diretor do Grupo Clavis • Auditor de Segurança • Instrutor e Palestrante • Áreas de interesse: Análise forense computacional;
Detecção e resposta a incidentes de segurança;
Testes de invasão em redes, sistemas e aplicações.
$ whoami
Conceitos
l Atividade técnica controlada l Teste de segurança l Simulação de ataques l Tentativas de obtenção de acesso não autorizado a ativos de informação
Justificativa e Motivação
l Avaliar os riscos e vulnerabilidades reais presentes no seu negócio • Determinar se os investimentos atuais estão realmente detectando e prevenindo ataques • Conformidade com normas internacionais • Milestone para projetos entrarem ou não em produção (“go live”)
PenTest X Ataque Real
l Metodologia l Documentação
l Preocupação com o Cliente
l Limitações
l Autorização documentada
l Integridade
Planejamento e Preparação
l Detalhes da Infraestrutura l Acordo de confidencialidade (NDA)
l Equipamento e recursos necessários
l Relatório de linha do tempo
l Acesso a testes anteriores
l Inspeção física
l Tratamento de questões especiais
l Limitações de Tempo
Planejamento e Preparação
l Objetivo/Propósito l Alvos
l Profundidade
l Exclusões
Tipos de Teste
>> O que você sabe sobre o ambiente?
Blind (caixa preta)
Open (caixa branca) >> O que o ambiente sabe sobre você?
Teste anunciado
Teste Não-anunciado
Etapas de um PenTest
• Obtenção de Informações e Mapeamento
• Iden4ficação de Vulnerabilidades
• Análise e Exploração
Obtenção de Informações e Mapeamento
Nmap Iden4fica hosts vivos, estado de portas, serviços e sistemas operacionais Xprobe Fingerprint de sistemas operacionais P0f Iden4ficação passiva de SO
Identificação de Vulnerabilidades
NESSUS Professional Edi4on Iden4fica Vulnerabildiades em sistemas, serviçoes e aplicações. QualysGuard Iden4fica vulnerabilidades, correções pendentes e existência de exploits públicos para tais vulnerabilidades.
Identificação de Vulnerabilidades
w3af Verifica a possibilidade de execução de ataques do 4po injeção de SQL, cross site scrip4ng (XSS), inclusão de arquivos locais e remotos, entre outros. Nikto Verifica a existência de versões desatualizadas, problemas em versões específicas e ítens de configuração do servidor.
Análise e Exploração
Metasploit Framework / Express / Pro Relaciona Vulnerabilidades descobertas com uma base de exploits e faz tenta4vas de invasão. Sqlmap Avalia a possibilidade de injeções em aplicações e uiliza o padrões de resposta para mapear versões de banco.
Análise e Exploração
Webscarab / Paros / BurpSuite Intercepta requisições para manipular campos e parâmetros burlando controles client side e forjando requisições inválidas. LOIC / Hping /T50 Fazem ataques de Negação de Serviço John the ripper / Hydra Efetua ataques de Força Bruta
Análise e Exploração
Wireshark / TCPdump / Edercap / Dsniff Verifica se é possível iden4ficar e obter informações sensíveis através da manipulação de tráfego de rede Aircrack-‐ng / Kismet Avalia exposição de dados e configurações em redes sem fio
Modelos e Referências
>> OWASP Open Web Application Security Project >> OSSTMM Open Source Security Testing Methodology Manual >> NIST 800.42 Guideline on Network Security Testing >> ISSAF Information Systems Security Assessment Framework
Dúvidas?
Perguntas?
Críticas?
Sugestões?
Muito Obrigado!
@rafaelsferreira
Rafael Soares Ferreira Sócio Diretor Clavis Segurança da Informação