marbra
(usa Debian)
Enviado em 10/07/2008 - 15:07h
Pessoal como vi que gostaram do artigo anteriormente postado sobre vulnerabilidades web, decidi passar a tarde a criar este artigo para a área de penetration test.
O artigo é baseado em tudo o que já li sobre penetration test, não foi baseado em nenhum artigo já postado na web, foi criado apenas com base dos meus conhecimentos sobre o assunto.
Não sou nenhum especialista no assunto mas estou pensando em tirar um curso de CEH, por isso costumo ler muito sobre segurança e penetration test.
Estava pensando em criar um pdf com este artigo aqui para o istf, porque estou criando o artigo referido ao fórum e aos seus membros.
Ora vamos lá:
A InfoSecurity é uma comunidade de pesquisa de primeiro nível, dedicada a descobrir vulnerabilidades, partilhar e corrigir falhas de segurança em redes de computadores. Poucas são as comunidades e foruns que têm o conteúdo e conhecimentos necessários para lhe ajudar na resolução de suas vulnerabilidades.
Por isso, os membros e especialistas de segurança da InfoSecurity o podem ajudar. Você que está lendo este tópico, se navegar uns minutos pelo forum verá que existe aqui bons seguranças de rede assim como bons pentesters, não será difícil escolher um para dirigir a segurança da sua empresa ou mesmo para testa-la e fortalece-la.
As metodologias e o conteúdo dos tópicos do fórum lhe ajudam a determinar que tão seguro se encontra, e onde deve estar seus requerimentos de segurança, e como fechar a brecha para assim evitar violações de seu sistema.
Os testes de penetração, segurança da informação e valoração de aplicações, lhe podem ajudar a avaliar a segurança de certas aplicações em específico, de algum departamento em particular ou da totalidade de sua empresa.
Como trabalha o Atacante?
O atacante trabalha em 5 passos, os quais são:
Citar:
Reconhecimento
Scaneamento
Obter o acesso
Manter o acesso
Limpar rastros
Fases do Teste de Segurança
Todo o teste de segurança se leva a cabo em 3 fases:
Citar:
Preparação
Conduta
Conclusão
Preparação: Nesta fase se assina um contrato com todos os termos legais e clausulas para proteger a ambas partes.
Conduta: Nesta fase o reporte da avaliação técnica é preparado baseando-se no resultado do Teste de vulnerabilidades.
Conclusão: Nesta fase os resultados da avaliação são comunicados à empresa, para que tomem as medidas pertinentes.
O que se realiza num Teste de Segurança?
1. Análise da rede
2. Análise de portas
3. Identificação de sistemas
4. Provas de debilidades em sistemas sem fios (dependendo segundo o caso)
5. Verificação de serviços (Site, correio, servidor de nomes, documentos visíveis, vírus e trojanos)
6. Determinação de vulnerabilidades
7. Identificação de exploits
8. Verificação manual de vulnerabilidades
9. Verificação de aplicações
10. Verificação de firewall e ACL
11. Revisão das políticas de segurança
12. Revisão de sistemas de detecção de intrusos
13. Revisão de sistemas de telefonia (dependendo segundo o caso)
14. Obtenção de informação (serviços de notícias, notas de imprensa, informações facilitadas pela própria empresa), ofertas de trabalho, newsgroups, xracks, números de série e "underground", FTP, Site, P2P
15. Engenharia social
16. Verificação de sistemas "confiaveis"
17. Análise de fortaleza de senhas
18. Negação de serviço
19. Revisão da política de privacidade.
20. Análise de cookies e bugs no Site
21. Revisão de arquivos de anotações cronológicas (logs)
Períodos do Teste de Segurança:
1. Fase de colecta de informação geral (reconnaissance and footprinting)
2. Fase de colecta específica sobre as redes e sistemas informáticos.
3. Fase de exploração e varredura (scanning) das redes e sistemas informáticos, para encontrar eventuais vulnerabilidades.
4. Fase de análise das vulnerabilidades e brechas de segurança encontradas.
5. Fase de ataques (teste de penetração e negação de serviço) para explorar as vulnerabilidades encontradas (exploit). Esta fase nem sempre se leva a cabo, já que pode afectar o funcionamento das equipas e sistemas; e em algumas ocasiões por norma da empresa.
6. Fase de elaboração de relatório, explicando os riscos e as possíveis consequências, com recomendações para remediar as vulnerabilidades.
Fase 1: Colecta de informação geral
Aqui trata-se de obter tanta informação quanto seja possível sobre o alvo. Mediante a avaliação às cegas se utiliza só o nome da organização, sem nenhuma ajuda desde dentro, para assim simular a situação de um ataque de intrusos vindo da Internet.
Em primeiro lugar se averigua o que mais se possa sobre o perfil da organização, por exemplo: âmbito de atividades, você sede e filiais, fornecedor de Internet (ISP), pessoas códigos, serviços que se oferecem, etc.
Fase 2: Colecta de informação específica
Nesta fase trata-se de obter informação específica e detalhada sobre a topologia da rede, assim como a configuração e características de cada equipe, de tipo de servidores, sistemas operativos (versão, service pack, correções), direcções de IP, mapa da rede, etc.
Para as provas com pleno conhecimento se pode solicitar e obter informação como a seguinte:
a) Lista completa de direcções de IP atribuídas, sejam utilizadas ou não.
b) Inventário de todos as equipas conectados em rede, especificando os seguintes dados: nome do host, função que cumpre, direção IP, descrição do hardware, sistema operativo e service pack (ou correções).
c) Planos e diagramas da rede, apoiados eventualmente de informação obtidas da actividade de gerenciamento, se existir.
Fase 3: Exploração e varredura (scanning)
Uma vez que se tenham determinado as direcções de IP das máquinas, trata-se de averiguar se estão ativas e quais portas estão abertas.
Para tal fim se utilizam ferramentas de domínio público e ferramentas comerciais, algumas das quais também reportam a descoberta de vulnerabilidades conhecidas.
Antes de usá-las, é importante actualizá-las para que se carreguem com a lista de vulnerabilidades mais recentes. Finalmente se faz um scanning manual sobre cada direcção para assim verificar e afinar os resultados do exame inicial.
Fase 4: Análise de vulnerabilidades e falhas achadas
Uma vez tendo-se identificado todo o hardware, software, sistema operativo, correcções, vulnerabilidades e outras informações pertinentes sobre a rede, deve-se investigar como se pode explorar tudo isso, para um possível ataque ou penetração.
Bom pessoal vou criar o artigo por fases, por agora parar por aqui.
Continua em "Como é feito um teste de penetração-Parte 2"
Espero que estejam a gostar, no próximo capitulo falarei sobre algumas ferramentas.