Workshop Riosoft Auditoria Teste de Invasão(pentest)

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Técnicas e Ferramental paraTestes de Invasão (PenTests)

Rafael Soares FerreiraClavis Segurança da Informaçã[email protected]



$ whoami

• CSO (Clavis & Green Hat)

• Pentester

• Investigador Forense

• Incident Handler

• Hacker Ético (CEHv6 – ecc943687)

• Instrutor e Palestrante



Agenda

• Definição

• Preparação

• Testando Redes e Sistemas

• Testando Aplicações Web

• Ferramentas

• Dúvidas

• Próximos Eventos



● Testes de segurança

● Atividades técnicas controladas

● Simulações de ataques reais

Definição



● Avaliar riscos e vulnerabilidades

• Determinar eficácia de investimentos

• Conformidade

• Homologação

Definição



● Metodologia e Documentação

● Limitações e Ética

● Autorização documentada

Definição



>> OSSTMMOpen Source Security Testing Methodology Manual

>> NIST 800.42Guideline on Network Security Testing

>> OWASPOpen Web Application Security Project

>> ISSAFInformation Systems Security Assessment Framework

Definição



• Detalhes da Infraestrutura

• Acordo de confidencialidade (NDA)

• Equipamento e recursos necessários

• Acesso a testes anteriores

Preparação



● Objetivo/Propósito

● Alvos

● Profundidade

● Exclusões

Preparação



>> O que você sabe sobre o ambiente?

Blind (caixa preta)

Open (caixa branca)

>> O que o ambiente sabe sobre você?

Teste anunciado

Teste Não-anunciado

Preparação



Ponto de Partida

● Ataques externos

● Ataques Internos

Preparação



Tratamento de questões especiais

● Falha no sistema alvo

● Dados sensíveis encontrados

● Pontos de Contato

Preparação



Limitações de Tempo

● Restrições de Horário

● Duração do Teste

Preparação



● Classificação de vulnerabilidades

● Identificação de circuitos de ataque

● Caminho de menor resistência

● Árvores de ataques

Vetores de Ataque

Preparação



●Engenharia Social

●Trashing (Dumpster Diving)

●Whois

●Entradas DNS

●Buscas na Internet

Testando Redes e Sistemas

Obtenção de Informações



●Wardriving

●Mapeamento de Redes

●Port Scan

●Vulnerabilidade


Varreduras



● Sniffing

● DNS Cache Poisoning

● Exploits

● Quebra de Senha

● Negação de Serviço


Invasão



● Escalada de Privilégios

● Manutenção de Acesso

● Cobrindo Rastros


Pós-Invasão



• Não validação de dados externos

• Não tratamento de erros

• Falta de Canonicalização

• Verificações Client-Side

• Segurança por Obscuridade

Testando Aplicações Web

Principais Problemas



• Dados não esperados (e não tratados!) enviados para um interpretador

• Interpretadores recebem strings e interpretam como comandos

• SQL, Shell, LDAP, etc...

• Injeção de SQL é disparado o mais comum!

• Impactos Catastróficos!

>> Injeções




SELECT id FROM usuarios WHERE nome = '$nome' AND senha = '$senha';

<form method="post" action="http://SITE/login.php"><input name="nome" type="text" id="nome"><input name="senha" type="password" id="senha"></form>

Client-Side:

Server-Side:

>> Injeções - SQL




' OR 'a'='a

SELECT id FROM usuarios WHERE nome = '$nome' AND senha = '' OR 'a'='a';

Client-Side: O Exploit!

Server-Side:

>> Injeções - SQL




www.seginfo.com.br

Traduzida a partir da Tirinha “Exploits of a mom” do xkcd

>> Injeções - SQL




• Dados enviados pelo usuário geram um comando que é passado ao sistema

• Exemplo: DNS lookup em domínios passados pelo usuário

• Exploit: clavis.com.br%20%3B%20/bin/ls%20-l

>> Injeções - SO




• Dados maliciosos enviados ao browser do usuário

• Podem estar em posts, URLs, javascript, etc...

• Todo Browser é “vulnerável”: javascript:alert(document.cookie)

• Geralmente visa roubo (de sessão, de dados, ...) ou redirecionamento para sites maliciosos

>> Cross-Site Scripting (XSS)




>> Cross-Site Scripting (XSS)




>> Cross-Site Scripting (XSS) - Persistente




>> Cross-Site Scripting (XSS) – Não Persistente




• O protocolo HTTP é stateless

• SESSION ID usado para gerir a “sessão”

• A exposição do SESSION ID é tão perigosa quanto a de credenciais

• Outras possibilidades são: Reset e/ou lembrete de senha, Pergunta secreta, logout, etc...

• Possibilita o comprometimento de sessões

>> Gerência de Sessões e Autenticações




• Não adianta esconder objetos

• Controle de Acesso em camada de apresentação não funciona!

• Force restrições server-side!

• Possibilita acesso a dados não autorizados

>> Referência Direta a Objetos Insegura




• O browser da vítima é induzido à executar requisições

• Analogia: Um atacante se apodera de seu mouse e clica em links enquanto você usa seu internet banking

>> Cross Site Request Forgery (CSRF)




>> Cross Site Request Forgery (CSRF)




• A internet é pública e hostil!

• Dados podem ser (e serão!) capturados

• Utilize criptografia!

• Atacantes podem visualizar e/ou modificar informações em trânsito

>> Canal Inseguro




>> Nmap

>> THC-Amap

>> Xprobe2

>> Unicornscan

Sondagem e Mapeamento

Ferramentas



>> John The Ripper

>> THC-Hydra

Auditoria de Senhas

Ferramentas



>> Wireshark

>> Tcpdump

>> Ettercap

>> Dsniff

Análise de Tráfego

Ferramentas



>> Nessus

>> OpenVAS

>> SARA

>> QualysGuard

Análise de Vulnerabilidades

Ferramentas



>> Nikto

>> Paros

>> Webscarab

Auditoria em Servidores Web

Ferramentas



>> Kismet

>> Aircrack-ng

>> Netstumbler

>> Cowpatty

Auditoria em Redes sem Fio

Ferramentas



>> Metasploit

>> SecurityForest

Exploração de Vulnerabilidades

Ferramentas



>> Hping

>> Yersinia

>> Ida Pro

>> Ollydbg

Manipulação de pacotes e artefatos

Ferramentas



● Técnicas regem o ferramental

● A ética é muito importante (sempre!)

● “Grandes poderes trazem grandes

responsabilidades”

● Segurança deve ser pró-ativa

Conclusões



Próximos Eventos



Próximos Eventos

Data: 12 e 13 de agosto de 2011(sexta e sábado)

Local: Centro de Convenções da Bolsa de Valores do Rio de Janeiro.

www.seginfo.com.br



Próximos Eventos

Profissionais renomados no cenário Nacional e Internacional



Próximos Eventos

Jogos e Premiações!



Dúvidas?

Perguntas?

Críticas?

Sugestões?



Fim...

Muito Obrigado!

Rafael Soares Ferreira

[email protected]

@rafaelsferreira

Technology

Workshop Riosoft Auditoria Teste de Invasão(pentest)