Workshop Riosoft Auditoria Teste de Invasão(pentest)

clavissecurity 803 views 48 slides Mar 18, 2011
Slide 1
Slide 1 of 48
Slide 1
1
Slide 2
2
Slide 3
3
Slide 4
4
Slide 5
5
Slide 6
6
Slide 7
7
Slide 8
8
Slide 9
9
Slide 10
10
Slide 11
11
Slide 12
12
Slide 13
13
Slide 14
14
Slide 15
15
Slide 16
16
Slide 17
17
Slide 18
18
Slide 19
19
Slide 20
20
Slide 21
21
Slide 22
22
Slide 23
23
Slide 24
24
Slide 25
25
Slide 26
26
Slide 27
27
Slide 28
28
Slide 29
29
Slide 30
30
Slide 31
31
Slide 32
32
Slide 33
33
Slide 34
34
Slide 35
35
Slide 36
36
Slide 37
37
Slide 38
38
Slide 39
39
Slide 40
40
Slide 41
41
Slide 42
42
Slide 43
43
Slide 44
44
Slide 45
45
Slide 46
46
Slide 47
47
Slide 48
48

About This Presentation

Foram apresentadas algumas das principais técnicas e ferramentas para realização de auditoria do tipo teste de invasão, tanto em redes e sistemas quanto em aplicações web. Uma série de estudos de casos relacionados com as atividades da auditoria tipo teste de invasão também será aprecia...

Size: 1.96 MB
Language: pt
Added: Mar 18, 2011
Slides: 48 pages

Slide Content

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Técnicas e Ferramental para
Testes de Invasão (PenTests)
Rafael Soares Ferreira
Clavis Segurança da Informação
[email protected]

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
$ whoami
• CSO (Clavis & Green Hat)
• Pentester
• Investigador Forense
• Incident Handler
• Hacker Ético (CEHv6 – ecc943687)
• Instrutor e Palestrante

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Agenda
• Definição
• Preparação
• Testando Redes e Sistemas
• Testando Aplicações Web
• Ferramentas
• Dúvidas
• Próximos Eventos

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
● Testes de segurança
● Atividades técnicas controladas
● Simulações de ataques reais
Definição

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
● Avaliar riscos e vulnerabilidades
• Determinar eficácia de investimentos
• Conformidade
• Homologação
Definição

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
● Metodologia e Documentação
● Limitações e Ética
● Autorização documentada
Definição

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> OSSTMM
Open Source Security Testing Methodology Manual
>> NIST 800.42
Guideline on Network Security Testing
>> OWASP
Open Web Application Security Project
>> ISSAF
Information Systems Security Assessment Framework
Definição

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
• Detalhes da Infraestrutura
• Acordo de confidencialidade (NDA)
• Equipamento e recursos necessários
• Acesso a testes anteriores
Preparação

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
● Objetivo/Propósito
● Alvos
● Profundidade
● Exclusões
Preparação

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> O que você sabe sobre o ambiente?
Blind (caixa preta)
Open (caixa branca)
>> O que o ambiente sabe sobre você?
Teste anunciado
Teste Não-anunciado
Preparação

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Ponto de Partida
● Ataques externos
● Ataques Internos
Preparação

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Tratamento de questões especiais
● Falha no sistema alvo
● Dados sensíveis encontrados
● Pontos de Contato
Preparação

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Limitações de Tempo
● Restrições de Horário
● Duração do Teste
Preparação

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
● Classificação de vulnerabilidades
● Identificação de circuitos de ataque
● Caminho de menor resistência
● Árvores de ataques
Vetores de Ataque
Preparação

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
●Engenharia Social
●Trashing (Dumpster Diving)
●Whois
●Entradas DNS
●Buscas na Internet
Testando Redes e Sistemas
Obtenção de Informações

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
●Wardriving
●Mapeamento de Redes
●Port Scan
●Vulnerabilidade
Testando Redes e Sistemas
Varreduras

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
● Sniffing
● DNS Cache Poisoning
● Exploits
● Quebra de Senha
● Negação de Serviço
Testando Redes e Sistemas
Invasão

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
● Escalada de Privilégios
● Manutenção de Acesso
● Cobrindo Rastros
Testando Redes e Sistemas
Pós-Invasão

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
• Não validação de dados externos
• Não tratamento de erros
• Falta de Canonicalização
• Verificações Client-Side
• Segurança por Obscuridade
Testando Aplicações Web
Principais Problemas

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
• Dados não esperados (e não tratados!) enviados
para um interpretador
• Interpretadores recebem strings e interpretam
como comandos
• SQL, Shell, LDAP, etc...
• Injeção de SQL é disparado o mais comum!
• Impactos Catastróficos!
>> Injeções
Testando Aplicações Web

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
SELECT id FROM usuarios
WHERE nome = '$nome'
AND senha = '$senha'
;
<form method="post" action="http://SITE/login.php">
<input name="nome" type="text" id="nome">
<input name="senha" type="password" id="senha">
</form>
Client-Side:
Server-Side:
>> Injeções - SQL
Testando Aplicações Web

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
' OR 'a'='a
SELECT id FROM usuarios
WHERE nome = '$nome'
AND senha = '' OR 'a'='a'
;
Client-Side: O Exploit!
Server-Side:
>> Injeções - SQL
Testando Aplicações Web

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
www.seginfo.com.br
Traduzida a partir da Tirinha “Exploits of a mom” do xkcd
>> Injeções - SQL
Testando Aplicações Web

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
• Dados enviados pelo usuário geram um comando
que é passado ao sistema
• Exemplo: DNS lookup em domínios passados pelo
usuário
• Exploit: clavis.com.br%20%3B%20/bin/ls%20-l
>> Injeções - SO
Testando Aplicações Web

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
• Dados maliciosos enviados ao browser do usuário
• Podem estar em posts, URLs, javascript, etc...
• Todo Browser é “vulnerável”:
javascript:alert(document.cookie)
• Geralmente visa roubo (de sessão, de dados, ...)
ou redirecionamento para sites maliciosos
>> Cross-Site Scripting (XSS)
Testando Aplicações Web

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> Cross-Site Scripting (XSS)
Testando Aplicações Web

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> Cross-Site Scripting (XSS) - Persistente
Testando Aplicações Web

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> Cross-Site Scripting (XSS) – Não Persistente
Testando Aplicações Web

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
• O protocolo HTTP é stateless
• SESSION ID usado para gerir a “sessão”
• A exposição do SESSION ID é tão perigosa
quanto a de credenciais
• Outras possibilidades são: Reset e/ou lembrete
de senha, Pergunta secreta, logout, etc...
• Possibilita o comprometimento de sessões
>> Gerência de Sessões e Autenticações
Testando Aplicações Web

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
• Não adianta esconder objetos
• Controle de Acesso em camada de apresentação
não funciona!
• Force restrições server-side!
• Possibilita acesso a dados não autorizados
>> Referência Direta a Objetos Insegura
Testando Aplicações Web

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
• O browser da vítima é induzido à executar
requisições
• Analogia: Um atacante se apodera de seu mouse
e clica em links enquanto você usa seu internet
banking
>> Cross Site Request Forgery (CSRF)
Testando Aplicações Web

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> Cross Site Request Forgery (CSRF)
Testando Aplicações Web

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
• A internet é pública e hostil!
• Dados podem ser (e serão!) capturados
• Utilize criptografia!
• Atacantes podem visualizar e/ou modificar
informações em trânsito
>> Canal Inseguro
Testando Aplicações Web

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> Nmap
>> THC-Amap
>> Xprobe2
>> Unicornscan
Sondagem e Mapeamento
Ferramentas

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> John The Ripper
>> THC-Hydra
Auditoria de Senhas
Ferramentas

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> Wireshark
>> Tcpdump
>> Ettercap
>> Dsniff
Análise de Tráfego
Ferramentas

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> Nessus
>> OpenVAS
>> SARA
>> QualysGuard
Análise de Vulnerabilidades
Ferramentas

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> Nikto
>> Paros
>> Webscarab
Auditoria em Servidores Web
Ferramentas

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> Kismet
>> Aircrack-ng
>> Netstumbler
>> Cowpatty
Auditoria em Redes sem Fio
Ferramentas

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> Metasploit
>> SecurityForest
Exploração de Vulnerabilidades
Ferramentas

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
>> Hping
>> Yersinia
>> Ida Pro
>> Ollydbg
Manipulação de pacotes e artefatos
Ferramentas

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
● Técnicas regem o ferramental
● A ética é muito importante (sempre!)
● “Grandes poderes trazem grandes
responsabilidades”
● Segurança deve ser pró-ativa
Conclusões

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Próximos Eventos

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Próximos Eventos
Data: 12 e 13 de agosto de 2011(sexta e sábado)
Local: Centro de Convenções da Bolsa de Valores do
Rio de Janeiro.
www.seginfo.com.br

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Próximos Eventos
Profissionais renomados no cenário
Nacional e Internacional

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Próximos Eventos
Jogos e Premiações!

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Dúvidas?
Perguntas?
Críticas?
Sugestões?

Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.
Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Fim...
Muito Obrigado!
Rafael Soares Ferreira
[email protected]
@rafaelsferreira
Tags
auditoria pentest teste de invaso metasploit
Categories
Education
Download
Download Slideshow Get the original presentation file
Quick Actions
Statistics
  • Views 803
  • Slides 48
  • Favorites 3
  • Age 5371 days
Related Slideshows
TLE-9-Prepare-Salad-and-Dressing.pptxkkk 11
TLE-9-Prepare-Salad-and-Dressing.pptxkkk
MaAngelicaCanceran
30 views
LESSON 1 ABOUT MEDIA AND INFORMATION.pptx 12
LESSON 1 ABOUT MEDIA AND INFORMATION.pptx
JojitGueta
24 views
GRADE-8-AQUACULTURE-WEEKQ1.pdfdfawgwyrsewru 60
GRADE-8-AQUACULTURE-WEEKQ1.pdfdfawgwyrsewru
MaAngelicaCanceran
39 views
Feelings PP Game FOR CHILDREN IN ELEMENTARY SCHOOL.pptx 26
Feelings PP Game FOR CHILDREN IN ELEMENTARY SCHOOL.pptx
KaistaGlow
39 views
Jeopardy_Figures_of_Speech_Template.pptx [Autosaved].pptx 54
Jeopardy_Figures_of_Speech_Template.pptx [Autosaved].pptx
acecamero20
23 views
Jeopardy_Figures_of_Speech.pptxvdsvdsvsdvsd 7
Jeopardy_Figures_of_Speech.pptxvdsvdsvsdvsd
acecamero20
24 views
View More in This Category