Pareceres e Testes de Invasão

Prévia do material em texto

<p>Autor: Prof. Ricardo Sewaybriker</p><p>Colaboradora: Profa. Fabíola M. A. Ribeiro</p><p>Pareceres e Testes</p><p>de Invasão</p><p>Professor conteudista: Ricardo Sewaybriker</p><p>Formado em Administração de Empresas pelas Faculdades Integradas Campos Salles (FICS) e pós-graduado em</p><p>Gestão da Segurança da Informação pelo Instituto de Pesquisas Energéticas e Nucleares (Ipen) – USP. É professor</p><p>da UNIP desde 2007. Como conteudista da UNIP, escreveu os seguintes livros para os cursos de Gestão da Tecnologia da</p><p>Informação, Redes de Computadores e Segurança da Informação: Segurança da Informação; Criptografia e Certificação</p><p>Digital; Segurança para Redes de Computadores; Segurança Física e Lógica de Redes. Administrador profissional,</p><p>trabalha com segurança da informação, atuando em instituição financeira há trinta anos.</p><p>© Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida por qualquer forma e/ou</p><p>quaisquer meios (eletrônico, incluindo fotocópia e gravação) ou arquivada em qualquer sistema ou banco de dados sem</p><p>permissão escrita da Universidade Paulista.</p><p>Dados Internacionais de Catalogação na Publicação (CIP)</p><p>S512p Sewaybriker, Ricardo.</p><p>Pareceres e Testes de Invasão / Ricardo Sewaybriker. – São Paulo:</p><p>Editora Sol, 2021.</p><p>144 p., il.</p><p>Nota: este volume está publicado nos Cadernos de Estudos e</p><p>Pesquisas da UNIP, Série Didática, ISSN 1517-9230.</p><p>1. Comandos. 2. Ferramentas. 3. Teste. I. Título.</p><p>CDU 681.3.004.4</p><p>U510.36 – 21</p><p>Prof. Dr. João Carlos Di Genio</p><p>Reitor</p><p>Prof. Fábio Romeu de Carvalho</p><p>Vice-Reitor de Planejamento, Administração e Finanças</p><p>Profa. Melânia Dalla Torre</p><p>Vice-Reitora de Unidades Universitárias</p><p>Profa. Dra. Marília Ancona-Lopez</p><p>Vice-Reitora de Pós-Graduação e Pesquisa</p><p>Profa. Dra. Marília Ancona-Lopez</p><p>Vice-Reitora de Graduação</p><p>Unip Interativa – EaD</p><p>Profa. Elisabete Brihy</p><p>Prof. Marcello Vannini</p><p>Prof. Dr. Luiz Felipe Scabar</p><p>Prof. Ivan Daliberto Frugoli</p><p>Material Didático – EaD</p><p>Comissão editorial:</p><p>Dra. Angélica L. Carlini (UNIP)</p><p>Dr. Ivan Dias da Motta (CESUMAR)</p><p>Dra. Kátia Mosorov Alonso (UFMT)</p><p>Apoio:</p><p>Profa. Cláudia Regina Baptista – EaD</p><p>Profa. Deise Alcantara Carreiro – Comissão de Qualificação e Avaliação de Cursos</p><p>Projeto gráfico:</p><p>Prof. Alexandre Ponzetto</p><p>Revisão:</p><p>Jaci Albuquerque</p><p>Vitor Andrade</p><p>Sumário</p><p>Pareceres e Testes de Invasão</p><p>APRESENTAÇÃO ......................................................................................................................................................7</p><p>INTRODUÇÃO ...........................................................................................................................................................7</p><p>Unidade I</p><p>1 INTRODUÇÃO A TESTES DE INVASÃO .........................................................................................................9</p><p>1.1 Metodologia ..............................................................................................................................................9</p><p>1.2 Fontes de informação ......................................................................................................................... 11</p><p>2 FASES DO TESTE DE INVASÃO .................................................................................................................... 12</p><p>2.1 Planejamento e preparação ............................................................................................................. 13</p><p>2.2 Aplicação do teste ................................................................................................................................ 18</p><p>2.3 Finalização e reporte ........................................................................................................................... 32</p><p>Unidade II</p><p>3 CONFIGURANDO O AMBIENTE .................................................................................................................. 38</p><p>3.1 Preparação do ambiente ................................................................................................................... 38</p><p>3.2 Preparando ambiente Linux ............................................................................................................. 41</p><p>3.3 Preparando ambiente Windows ..................................................................................................... 48</p><p>4 PRINCIPAIS COMANDOS LINUX ................................................................................................................ 53</p><p>4.1 Executando comandos de consulta .............................................................................................. 53</p><p>4.2 Executando comandos de criação ................................................................................................. 56</p><p>Unidade III</p><p>5 FERRAMENTAS UTILIZADAS ........................................................................................................................ 68</p><p>5.1 Maltego .................................................................................................................................................... 68</p><p>5.2 Google Hacking/Google Dorking ................................................................................................... 70</p><p>5.3 Whois......................................................................................................................................................... 71</p><p>5.4 Dig .............................................................................................................................................................. 73</p><p>6 FERRAMENTAS ESPECÍFICAS....................................................................................................................... 75</p><p>6.1 Nmap ......................................................................................................................................................... 75</p><p>6.2 DIRB ........................................................................................................................................................... 77</p><p>6.3 Cadaver ..................................................................................................................................................... 84</p><p>6.4 Crunch e Hydra ..................................................................................................................................... 86</p><p>6.5 NetCat ....................................................................................................................................................... 91</p><p>6.6 Metasploit ............................................................................................................................................... 95</p><p>6.7 SET (Social Engineer Toolkit) ..........................................................................................................101</p><p>Unidade IV</p><p>7 MÉTODO DE ESTUDO ....................................................................................................................................108</p><p>7.1 Capture the flag ..................................................................................................................................108</p><p>7.2 Usando picoCTF para o aprendizado ..........................................................................................110</p><p>7.3 Desafios ..................................................................................................................................................112</p><p>8 COLETA E RELATÓRIO DE TESTE DE INVASÃO ....................................................................................127</p><p>8.1 Teste de invasão, conceito ..............................................................................................................127</p><p>8.2 Processos de um teste de invasão ...............................................................................................128</p><p>8.2.1 Etapa de coleta de informações .....................................................................................................131</p><p>8.2.2 Descobrindo as vulnerabilidades ...................................................................................................</p><p>e sugestões de correção do problema e medidas para mitigar o risco.</p><p>A aquisição de dados definida pela organização envolve:</p><p>• valor da informação;</p><p>• acesso a infraestruturas críticas;</p><p>• acesso a dados protegidos por regras de compliance;</p><p>• sistemas secundários acessados;</p><p>• habilidade de manter um sistema comprometido na infraestrutura;</p><p>• habilidade de extração de dados.</p><p>Na exposição, avalia-se a frequência de incidentes e estima-se a capacidade das ameaças de acordo</p><p>com a modelagem de ameaça realizada.</p><p>Na finalização, faz-se a conclusão a partir de todo o cenário e são acentuados os principais aspectos</p><p>a serem corrigidos.</p><p>Deve-se esclarecer que todo o teste de invasão tem o objetivo de ajudar a melhorar a segurança dos</p><p>ativos da organização, e não apontar erros. Ao realizar recorrentes avaliações especializadas no ambiente,</p><p>maior será a maturidade de segurança da organização, diminuindo o risco de perdas financeiras.</p><p>Observação</p><p>Os testes podem variar de escopo e serem realizados por grupos</p><p>diferentes e em momentos diferentes, se possível. Quanto mais times</p><p>heterogêneos são formados para essas atividades, mais ricos serão os</p><p>resultados para a organização.</p><p>35</p><p>PARECERES E TESTES DE INVASÃO</p><p>Resumo</p><p>A segurança da informação está presente em todas as organizações e</p><p>em nosso dia a dia. As ameaças são as mais diversas e são cada vez mais</p><p>presentes no mundo digital. Para garantir que os controles e os processos</p><p>sejam eficientes em proteger os ativos, apresentamos a atividade de teste</p><p>de invasão. Para tal, destacou-se um cenário real ou o mais próximo da</p><p>realidade que seja alvo de ataques, os quais são controlados por uma equipe</p><p>especializada em apontar fraquezas em todo o ambiente de uma organização.</p><p>Os testes de segurança podem ser separados em três tipos: White Box,</p><p>Gray Box e Black Box. Há também testes direcionados com informações</p><p>fornecidas pela organização, a fim de avaliar pontos específicos na</p><p>infraestrutura. Por sua vez, nos testes fechados não há nenhuma</p><p>informação ou quase nada é fornecido para a equipe de testes, e os ataques</p><p>são direcionados quase como uma situação real.</p><p>Para a execução dos testes, é vital usar uma metodologia que mais</p><p>se adeque à necessidade da organização e que não deixe de avaliar</p><p>pontos importantes.</p><p>No momento da execução dos testes, é evidente que o escopo, o objetivo</p><p>e as limitações dos testes estejam claros e devem ser respeitados. Assim,</p><p>será levantada a maior quantidade de informação possível, de acordo</p><p>com o tempo designado para cada atividade. Trata-se de uma atividade</p><p>investigativa, que simula a ação desde pesquisadores livres de segurança</p><p>até membros do crime organizado.</p><p>Depois de coletadas as informações (nome da organização, ramo de</p><p>atividade, endereço digital), faz-se uma busca por informações mais profundas,</p><p>por exemplo, como a atividade financeira é realizada na organização, quais</p><p>são os possíveis pontos fracos do negócio, desde informações internas,</p><p>organogramas até dados de funcionários e fornecedores.</p><p>Ao final do teste, todas as informações capturadas, as análises e os</p><p>objetivos (alcançados ou não) serão demonstrados em dois reportes, um</p><p>executivo e um técnico. Esses registros têm como intuito destacar para</p><p>a organização os riscos aos quais ela está exposta e ajudar as equipes</p><p>técnicas a fazer as devidas correções para que os itens apontados não</p><p>sejam explorados por ameaças mal-intencionadas em um ataque real.</p><p>A tecnologia em geral está em constante evolução, os ataques e as</p><p>ameaças estão cada vez mais presentes no mundo virtual, por isso é</p><p>necessário estar sempre atento para novos cenários.</p><p>36</p><p>Unidade I</p><p>Exercícios</p><p>Questão 1. A assinatura de um termo de confidencialidade é de fundamental importância quando</p><p>realizamos testes de invasão. Essa assinatura deve ocorrer em qual fase do teste?</p><p>A) Reporte e finalização.</p><p>B) Planejamento e preparação.</p><p>C) Aplicação do teste.</p><p>D) Administrativa.</p><p>E) Assinatura de contrato de serviço.</p><p>Resposta correta: alternativa B.</p><p>Análise da questão</p><p>A assinatura do termo de confidencialidade é essencial na realização dos testes de invasão e deve ser</p><p>realizada no início do trabalho, ou seja, na etapa de planejamento e preparação.</p><p>Vale ressaltar que as três fases do teste de invasão são:</p><p>• planejamento e preparação;</p><p>• aplicação do teste;</p><p>• reporte e finalização.</p><p>Questão 2. As medidas protetivas quanto a um ataque a um sistema envolvem o uso de métodos</p><p>de codificação, empacotamento e criptografia. Essas medidas devem ser consideradas também quando</p><p>planejamos um teste de invasão.</p><p>Nesse contexto, considere o quadro a seguir, que apresenta os métodos de codificação e</p><p>suas explicações.</p><p>Quadro 8</p><p>I – Codificação a – Embaralhar bytes em trechos de código</p><p>II – Empacotamento b – Codificar pela aplicação de algoritmos matemáticos</p><p>III – Criptografia c – Colocar uma aplicação em um formato ou um pacote diferente</p><p>37</p><p>PARECERES E TESTES DE INVASÃO</p><p>Assinale a alternativa que contém a associação correta entre os métodos e as suas explicações.</p><p>A) I-c, II-a, III-b.</p><p>B) I-b, II-a, III-c.</p><p>C) I-b, II-c, III-a.</p><p>D) I-a, II-b, III-c.</p><p>E) I-a, II-c, III-b.</p><p>Resposta correta: alternativa E.</p><p>Análise da questão</p><p>A etapa de codificação envolve o embaralhamento de bytes em trechos de código. A etapa de</p><p>empacotamento coloca uma aplicação em um formato ou um pacote diferente, comprimindo,</p><p>muitas vezes, pedaços de código. A etapa de criptografia, que consiste na codificação pela aplicação</p><p>de algoritmos matemáticos, faz com que haja a necessidade de descriptografar trechos de código</p><p>para a sua execução.</p><p>132</p><p>8.2.3 Capturando tráfego ............................................................................................................................ 133</p><p>8.2.4 Exploração de falhas ........................................................................................................................... 134</p><p>8.2.5 Ataques a senhas ................................................................................................................................. 134</p><p>8.2.6 Explorando falhas da organização ................................................................................................ 136</p><p>7</p><p>APRESENTAÇÃO</p><p>Caros alunos,</p><p>O intuito desta disciplina é abordar de forma simples e objetiva os passos de um teste de invasão.</p><p>O conteúdo visa à interação, ao desenvolvimento e ao despertar da curiosidade do aluno para a</p><p>segurança da informação, tão essencial hoje. Com a constante evolução de tecnologias e para garantir</p><p>a maturidade da segurança da informação em grandes corporações, realizar testes o mais próximo</p><p>possível da realidade tornou-se vital para as organizações terem uma visão completa do que pode</p><p>ocorrer em uma situação real de ataque.</p><p>Diante desse cenário, serão estudados os princípios básicos de um teste de invasão, o que são, para</p><p>que servem, seus tipos, suas metodologias e suas fases.</p><p>Em seguida, será montado um laboratório em ambiente virtual para a realização de demonstrações</p><p>de algumas ferramentas usadas em testes de invasão. Serão ilustrados comandos básicos e como</p><p>consultar os manuais dos programas em sistemas Linux.</p><p>Também serão elencadas ferramentas de ação para o levantamento de informações e de</p><p>vulnerabilidade. Para tal, vamos explorar um sistema para mostrar alguns ataques e observar melhor</p><p>como os comprometimentos ocorrem de fato.</p><p>Finalmente, serão destacadas as plataformas de CTF, que são uma ótima maneira de praticar hacking</p><p>em um ambiente seguro. Essas plataformas gameficadas trazem desafios prontos para que o usuário</p><p>desenvolva suas habilidades de hacking.</p><p>INTRODUÇÃO</p><p>Um teste de invasão pode demonstrar o quanto uma organização ou um sistema está exposto a</p><p>diversos tipos de ataques. Assim, entender como esses ataques acontecem é fundamental para saber</p><p>como mitigar tais fragilidades, dificultando o sucesso de uma ação criminosa.</p><p>Nenhuma pessoa, processo ou tecnologia está livre de sofrer ataques bem-sucedidos, portanto,</p><p>fortificar as proteções e as medidas preventivas deve ser uma constante atividade para manter os ativos</p><p>seguros e longe de pessoas mal-intencionadas.</p><p>Hacker é o indivíduo que realiza uma série de procedimentos para que um ou mais dispositivos</p><p>eletrônicos execute uma ação que não era esperada. O verbo to hack está ligado ao termo “cortar</p><p>grosseiramente”, mas a palavra hack começou a ser utilizada por membros do Tech Model RailRoad</p><p>Club na década de 1950. Essencialmente, os participantes desse grupo desmontavam componentes</p><p>eletrônicos, estudavam seu funcionamento e, depois, criavam novas funcionalidades que não existiam</p><p>no projeto inicial, as quais foram chamadas de hacks. Posteriormente, esse mesmo termo foi alterado</p><p>de hardware para software.</p><p>8</p><p>De início, a motivação dos primeiros hackers conhecidos era o desafio de conseguir realizar um</p><p>objetivo, como: fazer uma ligação de graça por um telefone público; interceptar ligações entre duas</p><p>pessoas; conseguir manuais de instruções de sistemas internos das empresas de telefonia. Essa ideologia</p><p>de desafio, de conseguir objetivos que não eram previstos, motivou estudantes de engenharia, de</p><p>eletrônica e alguns entusiastas da área a criarem suas próprias invenções, combinando placas e circuitos</p><p>em casa para criar máquinas que não existiam comercialmente. Na Universidade de Berkeley, EUA,</p><p>existia um grupo de troca de informações técnicas sobre esses projetos que impulsionou essa evolução.</p><p>Esse movimento precedeu a criação dos computadores pessoais e, posteriormente, com uma visão de</p><p>negócios, esses inventos ganharam escala e distribuição.</p><p>Naquela época, a motivação das atividades dos precursores do hacking era a curiosidade. Faziam-se</p><p>pesquisas técnicas apuradas para saber como a tecnologia funcionava. Para tal, esses indivíduos usavam</p><p>criatividade para modificar o que já existia, a fim de executar novas funções ou funções aplicadas a</p><p>contextos que diferiam muito do propósito inicial.</p><p>Atualmente, a motivação dos ataques está dividida entre profissionais de segurança da informação,</p><p>que se dedicam unicamente a proteger os ativos importantes para pessoas e organizações, e profissionais que</p><p>visam ao próprio benefício. Esses últimos realizam atividades ilegais e nem sempre para o bem de</p><p>todos. Entre seus objetivos, destacam-se: obter de vantagens monetárias; chamar atenção de entidades</p><p>para questões políticas; espionagem; despertar o interesse de pesquisadores entusiastas que testam</p><p>ferramentas prontas; vingança pessoal ou corporativa; terrorismo.</p><p>Os testes de invasão são uma das formas mais eficazes de as organizações terem a visão de quais</p><p>são os pontos vulneráveis de suas tecnologias. Caso sejam bem-sucedidos, os testes acentuam quais os</p><p>possíveis impactos que essas ações poderão gerar. Por meio dos resultados dos testes, é possível tomar</p><p>as medidas preventivas para mitigar os riscos de ataques.</p><p>A sociedade e a tecnologia estão em constante evolução, e é natural que sempre surjam novos</p><p>sistemas, processos e novas formas de processar os respectivos ativos das organizações. Para que seja</p><p>mantido um nível elevado de segurança, deve-se realizar testes periódicos para que, a cada novo cenário,</p><p>os ativos sejam colocados em risco.</p><p>9</p><p>PARECERES E TESTES DE INVASÃO</p><p>Unidade I</p><p>1 INTRODUÇÃO A TESTES DE INVASÃO</p><p>1.1 Metodologia</p><p>Para fazer um ataque bem-sucedido, hoje são necessários bons conhecimentos sobre as tecnologias</p><p>disponíveis, sobre como as estruturas funcionam, como se comunicam, suas versões e, muitas vezes,</p><p>sobre a sua arquitetura.</p><p>Com tanta informação disponível na internet, ao ler manuais disponibilizados por fabricantes é</p><p>possível imaginar vulnerabilidades. É importante ressaltar que é necessário ter criatividade para</p><p>imaginar as mais diversas possibilidades em cenários complexos, em que há pedaços de informações</p><p>aparentemente desconexos que, juntos, podem viabilizar um comprometimento.</p><p>Os melhores resultados em testes de penetração são obtidos quando se tem menos informações ou</p><p>limitações possíveis. Basicamente, existem três tipos de testes de invasão: White Box, Black Box e Gray Box.</p><p>O teste de White Box ocorre quando o atacante tem todas as informações disponíveis para a</p><p>realização do ataque, lista de endereços IP, estruturas a serem testadas e credenciais de acesso com e</p><p>sem privilégios administrativos. Pode existir um roteiro pré-definido para esse tipo de teste acordado</p><p>entre os administradores e o atacante.</p><p>Por outro lado, no teste de Black Box o atacante possui o mínimo de informações possíveis e um</p><p>objetivo: encontrar falhas. Assim, com tantas possibilidades disponíveis, a abrangência do atacante é</p><p>maior, o indivíduo pode seguir as mais diversas linhas investigativas, podendo escolher caminhos de</p><p>ataques que possivelmente não foram mapeados pelas equipes internas ou eventualmente possuam</p><p>uma probabilidade menor de acontecer.</p><p>Os testes de Gray Box são parciais entre White e Black Box: ocorrem quando a equipe de testes</p><p>possui parte das informações necessárias para o ataque e o teste é direcionado a estruturas específicas.</p><p>Observe a definição a seguir:</p><p>• Gray Box: técnica para testar o produto ou aplicativo de software com conhecimento parcial do</p><p>funcionamento interno de um aplicativo. Seu objetivo é pesquisar defeitos devido à estrutura de</p><p>código inadequada ou ao uso inadequado de um aplicativo.</p><p>• White Box: método de teste de software em que a estrutura (design) interna do item sendo</p><p>testado é conhecida pelo testador.</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>10</p><p>Unidade I</p><p>• Black Box: conhecido como teste comportamental, é um método de teste de software no qual</p><p>a estrutura interna do item que está sendo testado não é conhecida pelo testador. Esses testes</p><p>podem ser funcionais ou não funcionais, embora geralmente sejam funcionais.</p><p>Para a realização de testes de penetração, temos as seguintes metodologias:</p><p>Quadro 1</p><p>ISSAF Information Systems Security Assessment Framework</p><p>NISTSP 800-115 Technical Guide to Information Security Testing and Assessment</p><p>OSSTMM Open Source Security Testing Methodology Manual</p><p>OWASP OWASP Testing Guide</p><p>PTES Penetration Testing Execution Standard</p><p>ISSAF (Information Systems Security Assessment Framework)</p><p>Metodologia voltada para testes de infraestrutura de TI, sendo aplicada normalmente nos</p><p>setores industrial e bancário. Embora seja uma metodologia antiga, pode ser usada como base</p><p>para realização das atividades.</p><p>NIST SP 800-115</p><p>Desenvolvida nos EUA pelo National Institute of Standards and Technology, separa os testes de</p><p>invasão em quatro etapas: planejamento, descoberta, ataque e relatório. Propõe metodologias para</p><p>análise de vulnerabilidades e registro detalhado de cada tentativa de exploração realizada, mesmo</p><p>que não tenha sucesso e reporte.</p><p>OSSTMM</p><p>Documento de acesso e contribuição livre, é desenvolvido pela comunidade de segurança. Esse</p><p>manual é focado para testes de invasão para fins de auditoria, não oferece todos os recursos para que</p><p>um teste completo seja feito, e sim avaliações específicas de um determinado cenário.</p><p>OWASP (Open Web Application Security Project)</p><p>Trata-se de uma metodologia voltada a aplicações web. Criado por um projeto de acesso e contribuição</p><p>livre, o objetivo desse documento é ajudar desenvolvedores a criar aplicações já considerando aspectos</p><p>de segurança e mitigando cenários passíveis de exploração. Também traz orientações de testes de</p><p>invasão e o reporte desses testes.</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>11</p><p>PARECERES E TESTES DE INVASÃO</p><p>PTES (Penetration Testing Execution Standard)</p><p>Criado por pesquisadores, é um documento focado especificamente em testes de invasão. O texto</p><p>tem como objetivo uma abordagem de fácil entendimento aos profissionais de segurança que irão</p><p>executar os testes, discorrendo sobre os cuidados de cada processo. Pode também ser usado pelas</p><p>organizações para entender o que esperar de um teste de invasão.</p><p>Conforme Bertoglio e Zorzo (2015), as metodologias OSSTMM, ISSAF, PTES e NIST podem ser usadas</p><p>para avaliação de grande parte dos cenários existentes, já a OWASP foca exclusivamente aplicações web.</p><p>As metodologias OSSTMM, OWASP e PTES visam os melhores processos de modelagem para garantir</p><p>o sucesso do teste. A vantagem do uso da metodologia NIST é que ela constantemente revisita os</p><p>resultados encontrados nos próprios testes para a tomada de decisão dos próximos passos.</p><p>1.2 Fontes de informação</p><p>Para a execução das atividades de testes de segurança, é preciso conhecer uma gama razoável de</p><p>domínios na área da tecnologia e também saber como o mundo corporativo funciona. Nesse contexto, o</p><p>fator humano é vital, visto que a tecnologia é uma ferramenta para que as atividades sejam executadas.</p><p>Uma vez que a tecnologia sempre se renova, as equipes de testes de segurança e de segurança</p><p>corporativa devem estar atualizadas com os vetores de ataque, assim, a cada nova forma de ataque e</p><p>exploração de vulnerabilidades, deverão ser instaurados controles mitigatórios.</p><p>Ao realizar pesquisas, tanto na área de tecnologia como em qualquer outra, é preciso observar as</p><p>fontes de informações, se são confiáveis, se há meios de validar as afirmações realizadas. Indivíduos</p><p>que transitam canais de discussão de segurança da informação possuem diferentes motivações para</p><p>reportar métodos de ataques e proteções. Sempre que possível, é importante confirmar tais afirmações</p><p>com testes práticos em laboratório para evitar riscos.</p><p>São elencadas a seguir algumas fontes para times de testes de segurança:</p><p>• Literatura disponível.</p><p>• Cursos e certificações.</p><p>• Convenções de segurança, como BlackHat, DefCon, BSides, RSA Conference, FIRST</p><p>Conference e H2HC.</p><p>• Fóruns, a exemplo de CSIAC, Security Focus, LiquidMatrix, CyberSecurity Insiders.</p><p>• Redes sociais: perfis no Twitter de pesquisadores, soluções de antivírus e times de resposta a</p><p>incidentes nacionais (CERTs).</p><p>• Blogs de segurança: IT Security Guru, The Hack, The Hacker News, CSO OnLine.</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>12</p><p>Unidade I</p><p>• Repositórios de exploits, como Metaexploit, ExploitDatabase, SecurityFocus.com, Secunia.</p><p>• Livros virtuais e documentos disponibilizados pela comunidade de segurança.</p><p>• Base de dados de vulnerabilidades, como NVD, cvedetails.com, exploitdb.com, Metaexploit</p><p>Framework, OSVDB.</p><p>Para formação e educação contínua, citam-se a seguir as principais certificações de teste de invasão</p><p>disponíveis atualmente:</p><p>• EC-Council Certified Ethical Hacker (CEH).</p><p>• EC-Council Licensed Penetration Tester Master.</p><p>• IACRB Certified Penetration Tester.</p><p>• Certified Expert Penetration Tester.</p><p>• CompTIA Pentest+.</p><p>• Certified Red Team Operations Professional.</p><p>• Offensive Security Certified Professional.</p><p>• EXIN Ethical Hacking.</p><p>A natureza da atividade hacker é o profundo conhecimento em tecnologia e a motivação de</p><p>provocar o inesperado.</p><p>Saiba mais</p><p>Para saber mais sobre o mundo hacker, assista ao documentário a seguir:</p><p>A ORIGEM dos hackers. Direção: Ralph Lee. EUA: Discovery</p><p>Channel, 2001. 47 min.</p><p>2 FASES DO TESTE DE INVASÃO</p><p>Os testes de invasão possuem três grandes etapas, e, dependendo do escopo do teste, vários passos</p><p>podem surgir. Abordaremos de forma geral os principais passos de um teste de invasão comum. Em um</p><p>projeto, podemos adicionar ou não executar algumas rotinas devido ao escopo, seja por direcionamento</p><p>de esforços, escassez de recursos ou possibilidade de impacto. Estudaremos as três fases a seguir:</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>13</p><p>PARECERES E TESTES DE INVASÃO</p><p>• fase 1: planejamento e preparação;</p><p>• fase 2: aplicação do teste;</p><p>• fase 3: reporte e finalização.</p><p>2.1 Planejamento e preparação</p><p>É um dos passos mais importantes de um teste de invasão. Essa fase vai definir o andamento do</p><p>projeto como um todo, desde regras, atribuições e responsabilidades e, eventualmente, exceções.</p><p>Para ter início, primeiro é necessária a assinatura de um termo de confidencialidade, um documento</p><p>que assegura tanto a parte que irá realizar o teste quanto a parte que será testada, desde informações</p><p>coletadas/discutidas, escopo do projeto, reportes e descarte seguro das evidências geradas.</p><p>Após a assinatura do termo, será firmado um contrato para definir os seguintes aspectos: a</p><p>quantidade de pessoas para a realização dos testes; um cronograma contendo datas, horários e</p><p>atividades a serem executadas; e as regras de aplicação do teste. Quanto mais detalhado o contrato,</p><p>melhores serão suas chances de sucesso, pois o contratante e o contratado devem estar com as</p><p>expectativas alinhadas.</p><p>No planejamento, é importante definir quais são os limites de cada fase, sejam de tempo, esforço,</p><p>grau de complexidade ou possibilidade de impacto. A seguir vamos tratar melhor do assunto.</p><p>Definição de escopo</p><p>Deve considerar qual o objetivo de cada teste, se é para ser realizada uma varredura geral na</p><p>empresa, se é para ser testado um sistema crítico específico, se há algum novo serviço ou cenário</p><p>particular para obter validação. O teste de invasão não deve ser utilizado para checar requisitos de</p><p>compliance, a natureza de um teste de invasão é mais abrangente. Um teste de invasão tem como</p><p>objetivo reconhecer um ambiente, descrever cenários de como ataques a esse ambiente podem ser</p><p>bem-sucedidos, realizar rotinas que comprovam ou não as fragilidades e, de acordo com os resultados</p><p>obtidos, emite-se um relatório demonstrando se há fragilidades, como foram exploradas e como corrigir</p><p>essas brechas. Normalmente, os testes de invasão são um dos requisitos de uma série de exigências para</p><p>o cumprimento de normas ou certificações.</p><p>Na definição de escopo, devem ser elencadas estruturas que estão em poder da empresa testada e</p><p>quais não estão. É comum, por exemplo, uma empresa contratar hospedagem e servidores de DNS de</p><p>terceiros para colocar sua página oficial no ar. Para fazer testes de penetração em empresas terceiras, é</p><p>necessária autorização prévia, caso contrário, o teste será interpretado como um ataque real e poderá</p><p>acarretar problemas para quem está realizando a atividade.</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>luisf</p><p>Highlight</p><p>14</p><p>Unidade I</p><p>Observação</p><p>A diferença entre um teste de invasão e um ataque real é pequena,</p><p>portanto, deve-se ter o máximo cuidado em cada ação a ser tomada para</p><p>que os impactos sejam os menores possíveis.</p><p>A realização de um bom teste de segurança deve levar em consideração o grau de maturidade da empresa</p><p>em relação à segurança da informação. Empresas mais maduras no quesito de segurança da informação requerem</p><p>mais atenção e esforço em razão de sua complexidade, seus sistemas e métodos de proteção existentes.</p><p>Um teste de invasão bem realizado pode encontrar falhas críticas em sistemas complexos. Em empresas</p><p>menores ou com um nível de maturidade de segurança da informação baixo, muitas vezes um teste</p><p>minucioso pode onerar a empresa e seus sistemas, e o relatório final entregue poder ser complexo</p><p>demais e não ajudar de fato a empresa a se proteger, pois ela ainda está iniciando nesse assunto. Nesses</p><p>casos, é mais interessante executar uma análise de vulnerabilidades, que tende a mitigar os problemas</p><p>gerais do alvo, elevando o grau de maturidade e introduzindo o tema de forma gradativa.</p><p>Saiba mais</p><p>O vídeo a seguir pode ajudar a demonstrar a diferença entre uma análise</p><p>de vulnerabilidade e um teste de invasão.</p><p>ANÁLISE de vulnerabilidades versus teste de invasão: qual a diferença?</p><p>2020. 1 vídeo (11:10). Publicado por Albert Oliveira. Disponível em: https://</p><p>www.youtube.com/watch?v=_ 6C7TMCKnrE. Acesso em: 9 out. 2020.</p><p>Tempo e esforço</p><p>Após a definição do escopo, deve-se avaliar quanto tempo será despendido para a realização daquela</p><p>atividade. É preciso considerar a experiência do time em determinada atividade e eventuais aprendizados</p><p>em tempo de execução dos testes. É interessante ter uma margem em cada fase, pois poderão ocorrer</p><p>imprevistos como falta de energia, falta de conectividade, indisponibilidade dos serviços etc. Caso a</p><p>atividade seja realizada antes do prazo, pode-se reajustar o tempo de outras tarefas previstas no projeto</p><p>ou fazer a apresentação de um estudo mais profundo de pontos de melhoria já levantados.</p><p>Regras de aplicação</p><p>Compreendem as seguintes condições: como o teste será feito? Será realizado de uma máquina</p><p>local ou será aplicado de forma remota? Haverá uso de IP dinâmico ou fixo? Haverá uso de VPN para</p><p>dificultar a localização do ataque? Será usado serviço em nuvem para melhorar o desempenho dos</p><p>testes realizados?</p><p>15</p><p>PARECERES E TESTES DE INVASÃO</p><p>Existem determinados tipos de testes que são invasivos e que podem causar dano ao ambiente, por</p><p>exemplo: testes de negação de serviço podem gerar indisponibilidade em uma aplicação em produção;</p><p>injeção de requerimentos em SQL pode alterar/apagar informações de uma base de dados, originando</p><p>problemas e erros nas aplicações.</p><p>Nesse processo, devem ser consideradas as leis nacionais e internacionais quanto ao uso de técnicas</p><p>e ferramentas. Hoje, com a computação em nuvem, que permite que os sistemas estejam em todos os</p><p>lugares, é necessário ter cuidado, pois não existem apenas dados de um cliente ou empresa em cada</p><p>servidor ou estrutura em nuvem. Portanto, deve ser feito o pedido formal e seguir todos os procedimentos</p><p>de segurança para a realização do teste em ambiente de terceiros. Destaca-se que cada país, que poder</p><p>hospedar um ou mais sistemas, possui leis diferentes.</p><p>Observação</p><p>Existem países que criminalizam algumas técnicas utilizadas por</p><p>algumas ferramentas, por exemplo, a varredura de endereços de IPs para</p><p>identificação de portas lógicas abertas.</p><p>As leis de proteção aos dados de cada país também são importantes para as regras do teste, assim, é</p><p>preciso descartar o acesso e a aquisição de informações que identificam pessoas e dados médicos.</p><p>Devem ser acordados os contatos de todas as partes envolvidas (técnicos, líderes de área e gerentes)</p><p>para a tomada de decisão e correção para reporte, definindo-se casos graves de falha e incidentes que</p><p>podem ocorrer durante o teste.</p><p>Se for viável disponibilizar um ambiente de homologação ou teste que seja o mais próximo da</p><p>realidade possível, os resultados poderão ser consideravelmente melhores.</p><p>As condições por meio das quais serão realizados os ataques de engenharia social também deverão</p><p>ser discutidas. Pode-se testar tanto a possibilidade de invasão virtual por meio de phishings, que</p><p>direcionam o usuário a uma página maliciosa que captura credenciais de acesso ou instalam programas</p><p>que implantam vulnerabilidades, quanto a segurança física, conseguindo acesso às dependências críticas,</p><p>testando a segurança dos processos e a maturidade em segurança dos funcionários.</p><p>A engenharia social abre uma gama de possibilidades de testes de invasão, os quais têm ligação</p><p>direta com espionagem industrial.</p><p>É preciso definir bem o objetivo primário do teste, verificar a segurança de uma aplicação web, testar</p><p>estruturas específicas, medir o tempo de resposta do time interno de resposta a incidentes, bem como</p><p>avaliar o grau de maturidade geral do alvo.</p><p>16</p><p>Unidade I</p><p>Exceções e desdobramentos</p><p>Em caso de o teste esbarrar em situações não previstas no escopo e/ou contrato, faz-se uma nova</p><p>avaliação, definindo-se o que deve ser feito a partir desse momento. Todo planejamento de esforço,</p><p>impacto técnico e limite jurídico pode ser comprometido por conta de imprevistos, principalmente na</p><p>esfera jurídica.</p><p>Reportes</p><p>Devem ser acordadas as condições de reportes a serem realizados durante o teste, sejam eles</p><p>programados, sejam eles emergenciais: os primeiros são como pontos de controle para demonstrar</p><p>como o teste está evoluindo; os segundos são realizados para indicar falhas críticas ou problemas que</p><p>estão prestes a se tornarem graves. É vital ressaltar que os reportes devem ser feitos de forma segura.</p><p>Para tal, usa-se um e-mail simples ou um arquivo que guarde seu conteúdo, evitando falhas graves</p><p>ao trafegar na internet ou na rede interna. Recomenda-se o uso de criptografia e canais seguros para</p><p>transmissão dessas informações, assim como uma seleção criteriosa de pessoas que poderão ter acesso</p><p>a essas informações.</p><p>Segundo Weidman (2014), podem ser entregues dois reportes dos testes realizados, um completo,</p><p>técnico e detalhado, e outro executivo. Cada um deverá conter informações relevantes para cada público.</p><p>É importante que o público-alvo consiga entender as informações ali contidas e demonstrar para os</p><p>gestores a importância desse tipo de trabalho e a projeção de resultados depois de as correções terem</p><p>sido realizadas, isso pode determinar o sucesso do projeto dentro da organização. Reportar os problemas</p><p>e participar da correção de vulnerabilidades quando possível pode fazer parte das atividades.</p><p>Questionários</p><p>Para facilitar essa fase do processo, pode-se realizar um questionário contendo os principais pontos</p><p>do teste. Quanto melhor for a preparação para o teste, maior será a chance de sucesso.</p><p>• Por que o teste de invasão será realizado?</p><p>• A realização do teste é para validação de algum requisito específico?</p><p>• Quando os testes serão realizados? Em horário comercial, em dias de semana?</p><p>• Quantos endereços IP serão testados?</p><p>• Quais estruturas poderão ser afetadas com os testes? Firewall, detectores de intrusão,</p><p>balanceadores de carga?</p><p>• Caso a invasão seja bem-sucedida, como o teste será conduzido?</p><p>17</p><p>PARECERES E TESTES DE INVASÃO</p><p>— Deverá ser realizada análise de vulnerabilidade local quando houver uma</p><p>máquina comprometida?</p><p>— Será executada a tentativa de ganhar privilégios administrativos como na</p><p>máquina comprometida?</p><p>• Realizar ou não ataques a hashes de senha obtidos? Serão aplicados testes mínimos, de</p><p>dicionários ou exaustivos?</p><p>• Quantas aplicações web serão/poderão ser testadas?</p><p>• Quantos logins de sistema serão avaliados?</p><p>• Será fornecida alguma documentação sobre as aplicações?</p><p>• Serão feitos testes em aplicações com credenciais fornecidas?</p><p>• Serão realizados testes baseados nas funções internas de aplicativos (avaliação de vulnerabilidades</p><p>de processos)?</p><p>• Serão efetuados testes de engenharia social?</p><p>— Será disponibilizada uma lista de e-mails?</p><p>— Será disponibilizada uma lista de telefones?</p><p>— Será realizado teste de engenharia social física?</p><p>– Quantas pessoas poderão ser envolvidas?</p><p>• Os gerentes de segurança e de negócio saberão da aplicação do teste?</p><p>• Quais as infraestruturas mais críticas que podem ser afetadas nos testes?</p><p>• Serão feitos testes de qualidade de processos em aplicativos desenvolvidos internamente?</p><p>• Existem sistemas de terceiros que não devem ser testados?</p><p>• Existem sistemas que devam ser sinalizados antes de as atividades de fato acontecerem?</p><p>• Existe alguma infraestrutura crítica ou serviço que não pode ser interrompido?</p><p>• Os backups são testados com frequência?</p><p>• Qual a última restauração de backup realizada?</p><p>18</p><p>Unidade I</p><p>2.2 Aplicação do teste</p><p>Após a conclusão da primeira fase, a equipe de testes seguirá as diretrizes acordadas na fase anterior</p><p>e preparará o ambiente a ser utilizado para execução das atividades. As etapas a seguir são:</p><p>Obtenção de informações</p><p>Modelagem de ameaças</p><p>Análise de vulnerabilidades</p><p>Exploração</p><p>Pós-exploração</p><p>Figura 1 – Etapas do teste</p><p>Obtenção de informações</p><p>É incomum organizações não terem representação na internet. Pode haver desde simplesmente um</p><p>website demonstrando minimamente do que a empresa se trata, quais são seus serviços e suas</p><p>informações de contato e/ou um perfil em redes sociais com nome, logotipo e alguns dados sobre</p><p>sua atividade até grandes portais complexos, com vários sistemas interligados. Hoje a internet</p><p>permite a operação de empresas que existam somente no ambiente virtual, em que um ou mais</p><p>funcionários trabalham de locais distintos e, em alguns casos, a organização não possui sequer um</p><p>escritório físico.</p><p>Nessa etapa, serão obtidas informações sobre o alvo a ser atacado. Caso o teste seja fechado, no qual</p><p>os atacantes tenham poucas ou não possuam informações suficientes para realizar o ataque, a fase de</p><p>obtenção de informações demandará tempo e esforço. Quanto mais informações vão sendo adquiridas</p><p>sobre o alvo, mais visibilidade os atacantes terão e maior será a chance de sucesso do teste. Caso o teste</p><p>seja mais aberto, essa fase poderá ser menos abrangente e até ignorada, dependendo das condições</p><p>pelas quais o teste foi projetado. Quanto mais específicos forem os testes, menores serão as chances de</p><p>reproduzir um ataque real, podendo gerar uma falsa sensação de segurança.</p><p>A obtenção de informações determina os possíveis pontos de comprometimento, os quais podem</p><p>ser físicos, digitais e/ou humanos.</p><p>Lembrete</p><p>As informações coletadas podem não estar completas, corretas ou</p><p>atualizadas, podem ter sido manipuladas de forma proposital ou não.</p><p>19</p><p>PARECERES E TESTES DE INVASÃO</p><p>Um ponto relevante dessa etapa são as limitações definidas no escopo do projeto. Os esforços de</p><p>tempo e o objetivo final devem direcionar essa fase, e as questões legais devem ser regularmente revisadas.</p><p>Existem diversas ferramentas disponíveis para facilitar as buscas por conteúdos sobre uma</p><p>organização na internet. Todavia, quanto mais automatizadas e genéricas forem essas ferramentas,</p><p>maior será a probabilidade de informações pouco relevantes. Portanto, é possível dividir a obtenção de</p><p>informações em três formas.</p><p>• Pesquisa automatizada: todo o processo é automático e um grande volume de dados é capturado</p><p>nessa etapa, assim, surgem diversos falso-positivos. São coletados dados como: endereço do site</p><p>oficial; dados de registro do site oficial; endereço IP de onde o site está hospedado; qual empresa;</p><p>qual a localização geográfica aproximada desse servidor.</p><p>• Pesquisa semiautomatizada: com base nos dados obtidos na etapa anterior, pode-se refinar as</p><p>buscas em ferramentas e realizar pequenas buscas manuais, trazendo mais conteúdo relevante</p><p>e já direcionando os esforços para o escopo definido no início do teste. São coletados dados</p><p>como: endereço físico da organização; informações de contato; certificações; endereços de IP</p><p>pertencentes à empresa; arquivos publicados que não podem ser encontrados através da página</p><p>inicial; portas lógicas abertas nesses endereços IP; aplicações web dessa organização.</p><p>• Pesquisa manual: a terceira etapa já traz uma série de informações não estruturadas sobre a</p><p>organização. Trata-se de conhecer a fundo a organização-alvo. São coletados dados como: ramo</p><p>de atividade; relação com seus clientes; quais são seus parceiros de negócio; redes sociais da</p><p>organização; funcionários.</p><p>Ainda de acordo com o escopo, deverá ser avaliada a forma pela qual serão obtidas essas informações.</p><p>A seguir, destacam-se três possibilidades:</p><p>• Obtenção passiva: quando as atividades não podem ser detectadas de nenhuma forma pelo alvo,</p><p>principalmente, quando são originadas de equipamentos dos atacantes.</p><p>• Obtenção semipassiva: as atividades realizadas devem parecer tráfego normal de internet.</p><p>Assim, não serão realizados ataques de força bruta em DNS para descobrir páginas web</p><p>incomuns, tampouco a busca por portas lógicas abertas através da rede. A intenção é não levantar</p><p>suspeitas do alvo.</p><p>• Obtenção ativa: as atividades devem ser detectadas pelo alvo, pois serão mais agressivas</p><p>que as formas anteriores. Essa forma envolve: pesquisas intensivas por portas lógicas abertas;</p><p>execução de ferramentas de enumeração de vulnerabilidades; busca por arquivos; servidores;</p><p>pastas não publicadas.</p><p>Com esses fatores em mente, a equipe que realizará os testes poderá montar as estratégias de coleta</p><p>de dados para o teste de invasão.</p><p>20</p><p>Unidade I</p><p>A equipe iniciará as buscas, que envolvem desde informações simples até dados mais complexos e,</p><p>muitas vezes, valiosos para a próxima fase.</p><p>Quadro 2 – Informações gerais coletadas</p><p>Categoria Dados</p><p>Localização Endereços completos e registro da empresa em órgãos públicos</p><p>Dono(s) ou responsável(eis) Nomes, dados pessoais, cargos, salários, e-mails corporativos e telefones</p><p>Demais funcionários Quantidade, posição na empresa e atividades realizadas no dia a dia</p><p>Fornecedores De tecnologias, equipamentos, soluções, softwares e suprimentos</p><p>Histórico financeiro Balanços, notícias sobre a saúde financeira da empresa. Histórico de</p><p>eventos no ramo de atuação</p><p>Ramo de atividade e linha de produtos Catálogo de produtos e serviços oferecidos pela organização</p><p>Clientes Perfil de consumidor dos produtos da empresa</p><p>Vagas de emprego Vagas de emprego abertas, focadas para as áreas de tecnologia e</p><p>segurança da informação</p><p>Certificações Certificações de mercado que a organização possui e quais ela precisa</p><p>seguir, dependendo de seu ramo de atividade</p><p>Marketing Qual a estratégia de marketing da empresa, inclusive em redes sociais,</p><p>para a realização de suas atividades comerciais</p><p>Basicamente, essas informações podem ser encontradas com motores de busca disponíveis,</p><p>alguns filtros de busca e dedicação.</p><p>Após essa visão geral da empresa e entendendo um pouco melhor sua identidade, a equipe</p><p>passará a coletar informações relevantes sobre a infraestrutura:</p><p>• Blocos de IP alocados para a organização.</p><p>• E-mails pessoais e genéricos, usuários de sistemas, tipos de login e formatos de senhas dos</p><p>sistemas que foram encontrados.</p><p>• Tecnologias usadas.</p><p>• Informações sobre o acesso remoto disponibilizado aos funcionários.</p><p>• Aplicações usadas.</p><p>• Tecnologias de defesa.</p><p>• Referências em sites de vendedores de segurança indicando a organização-alvo como referência.</p><p>• Presença de times de resposta a incidentes conhecidos/publicados.</p><p>21</p><p>PARECERES E TESTES DE INVASÃO</p><p>Após o levantamento dessas informações, a equipe já terá dados suficientes para realizar um</p><p>reconhecimento nas estruturas da organização. O reconhecimento coleta pegadas digitais, que são</p><p>informações específicas que podem ser coletadas das infraestruturas selecionadas, identificando informações</p><p>como versão de software instalado, patches instalados e aplicações web vulneráveis. Algumas das</p><p>técnicas mais usadas para reconhecimento são:</p><p>• Pesquisa Whois: para obter dados de registros dos domínios encontrados e os respectivos DNS.</p><p>Essencialmente, os DNS são estruturas que convertem nomes de domínios em IPs e, dependendo de</p><p>sua configuração, poderão fazer o processo inverso. Assim, com as informações do bloco de IP da</p><p>organização, pode-se coletar diversos endereços de aplicações que estão associadas a essa organização.</p><p>• Escaneamento de portas: essa técnica deve ser usada com cautela, pois seu uso extensivo</p><p>pode ser facilmente detectado por sistemas de proteção de borda. Usada com inteligência, trará</p><p>informações sobre os serviços ativos, tanto por protocolo TCP quanto UDP.</p><p>• Captura de banner: compreende requisições simples que são enviadas como tráfego comum</p><p>para as estruturas da organização. O objetivo é analisar sua resposta para capturar o tipo de</p><p>serviço que está sendo executado, o sistema operacional e suas respectivas versões.</p><p>• Transferência de zona: como os servidores DNS funcionam como uma lista telefônica (possuem uma</p><p>lista de domínios e seus endereços IP correspondentes), muitos deles conseguem fazer a transferência</p><p>de zona, que é a cópia dos registros de um DNS para outro. Com algumas ferramentas, é possível</p><p>verificar se os endereços de DNS da organização-alvo permitem essa atividade. Copiando todos os</p><p>registros do DNS, pode-se obter diversos endereços e seus respectivos IPs para exploração no futuro.</p><p>• Resposta SMTP: SMTP é o nome de um protocolo para a troca de e-mails entre servidores. Ao</p><p>enviar uma mensagem malformada ou com algum tipo de dado divergente em seus campos, os</p><p>servidores de SMTP podem enviar alguma resposta de erro, e essas respostas trazem informações</p><p>importantes sobre essa estrutura para um ataque posterior.</p><p>• DNS reverso: normalmente, os DNS respondem solicitações de endereços IP a partir de um domínio</p><p>informado. Caso esteja configurado para fazer o DNS reverso, em que é possível solicitar o</p><p>domínio associado a um IP, pode-se revelar para a organização domínios e subdomínios</p><p>importantes que não foram identificados anteriormente.</p><p>• Força bruta em DNS: as técnicas anteriores de transferência de zona e mapeamento de</p><p>domínios baseados em IPs podem ser repetidas de forma automática e sequencial, fazendo-se um</p><p>mapeamento de todas as informações relevantes que esse DNS pode trazer.</p><p>• Descobrimento de aplicações web: existem muitas ferramentas de código aberto e de mercado</p><p>que são amplamente utilizadas por empresas e usuários na internet. Um exemplo é o WordPress,</p><p>um sistema de código aberto desenvolvido em linguagem PHP para o gerenciamento de um</p><p>blog de forma simples. Há anos no mercado, esse sistema normalmente possui o portal de login</p><p>de administrador na pasta /wp-admin/. Se a equipe de testes encontrar algum domínio que</p><p>contém essa pasta, é possível que esse sistema esteja instalado no servidor. Existem ferramentas</p><p>automatizadas que podem auxiliar nesse reconhecimento de aplicações web.</p><p>22</p><p>Unidade I</p><p>Depois de executar as técnicas de reconhecimento, é necessário juntar informações coletadas</p><p>com as anteriores sobre a organização e realizar uma análise desses dados. O intuito é usar todo</p><p>o conhecimento anterior agregado para direcionar os testes em cenários que são mais relevantes</p><p>para organização.</p><p>Modelagem de ameaças</p><p>Essa etapa fará um levantamento dos ativos já mapeados avaliando o valor de cada ativo, a dificuldade</p><p>de sua obtenção e as motivações dos vetores de ataque. A criticidade dos vetores de ataque e quais são</p><p>os grupos de ataques mais nocivos para essa organização também serão ponderados.</p><p>Podem ser desenhados cenários em que há a simulação de motivação, ferramentas disponíveis,</p><p>métodos de ataques e comportamentos específicos dos grupos de ataque.</p><p>Caso o escopo do teste promover alguma liberdade, é importante avaliar com a organização quais</p><p>são os cenários mais críticos, inclusive fazendo entrevistas com funcionários para entender a gravidade</p><p>de um incidente caso um ativo específico tiver sido comprometido. Deverá ser avaliado também qual</p><p>será o foco da execução dos próximos passos do teste para direcionar os esforços em cenários mais</p><p>relevantes. Se o teste for totalmente fechado, esse processo será baseado em informações já registradas.</p><p>Quadro 3 – Tipos de ativos críticos de organizações</p><p>Tipo de ativo Exemplos</p><p>Políticas e manuais de procedimentos Documentos que definem como a empresa faz negócios e quais</p><p>processos são críticos para suas atividades</p><p>Informações sobre produtos Códigos-fonte de programa, produtos em lançamento e algoritmos</p><p>de decisão</p><p>Informações de marketing Planos de ações publicitárias, posicionamento de mercado, pesquisas</p><p>de concorrência e planos de negócios</p><p>Informações financeiras Dados financeiros, declarações fiscais, dados de cartões de créditos</p><p>corporativos e posição financeira</p><p>Informações técnicas</p><p>Topologia de redes, manuais de aplicações internas, configuração</p><p>de sistemas, credenciais de acesso privilegiado ou não e métodos de</p><p>autenticação presentes</p><p>Informações de funcionários Informações pessoais, dados financeiros e registros de saúde</p><p>Informações de clientes Dados pessoais, informações protegidas por lei e dados que podem</p><p>levar o cliente a ser fraudado em outro contexto</p><p>Uma organização necessita de dinheiro para operar, e entender como a atividade econômica</p><p>da empresa ocorre agrega mais valor a essa etapa. As organizações realizam processos que</p><p>geram valor agregado em seus produtos para realizar suas atividades econômicas. Assim, caso</p><p>sejam afetados, esses processos críticos poderão gerar prejuízos. Vetores de ataque poderão se</p><p>beneficiar dessas informações e causar incidentes propositais para impactar diretamente a fonte</p><p>financeira da organização.</p><p>23</p><p>PARECERES E TESTES DE INVASÃO</p><p>• Infraestruturas que suportam os processos: processos necessitam de meios para que sejam</p><p>executados, precisam estar devidamente mapeados para a próxima fase, a análise de vulnerabilidades.</p><p>• Informações que suportam processos: são os ativos que suplantam os processos para tomar</p><p>decisões, adotar estratégias de marketing e cumprir questões legais.</p><p>• Fator humano suportando processos: pessoas ligadas aos processos e infraestruturas críticas</p><p>que executam os processos ou mantêm os itens anteriores em funcionamento devem ser</p><p>mapeados, pois são parte do todo e podem ser atacados em algum momento.</p><p>Além da visão dos alvos, devem ser levantados os tipos de indivíduos associados, independentemente</p><p>de terem ou não a intenção de causar dano à empresa; por executarem atividades críticas e terem muita</p><p>responsabilidade, eles podem acidentalmente causar incidentes.</p><p>Quadro 4 – Ativos críticos para atividade da organização</p><p>Interno Externo</p><p>Gerentes Competidores</p><p>Administradores de sistemas Contratados</p><p>Desenvolvedores Fornecedores</p><p>Técnicos Crime organizado</p><p>Empresas contratadas Hackivistas</p><p>Suporte remoto Pesquisadores de segurança</p><p>Ex-funcionário</p><p>Outro aspecto importante que deverá ser verificado é o levantamento da capacidade de um ou</p><p>mais desses indivíduos em realizar uma</p><p>atividade maliciosa, ponderando as ferramentas disponíveis</p><p>para execução, conhecimento técnico e grau de dificuldade de execução e detecção dessa ameaça,</p><p>caso ela tiver sido bem-sucedida.</p><p>A motivação desses indivíduos varia de acordo com o ramo de atividade, o posicionamento na</p><p>sociedade, a relação com o mercado e a política. As motivações mais comuns são:</p><p>• benefícios diretos ou indiretos;</p><p>• hackitivismo;</p><p>• ressentimento;</p><p>• desafio ou reconhecimento;</p><p>• espionagem.</p><p>24</p><p>Unidade I</p><p>Uma forma de obter mais informações de possíveis ameaças é comparar organizações do mesmo</p><p>ramo de atividade, pesquisando por incidentes e similaridades que podem ser utilizadas como base de</p><p>conhecimento para essa fase.</p><p>Constantemente, incidentes de segurança são publicados na mídia e em blogs de segurança, algumas</p><p>vezes com explicações técnicas de como o ataque foi realizado. Empresas com modelos de negócios</p><p>parecidos poderão ter problemas similares e, fatalmente, terão chances de sofrer o mesmo tipo de ameaça.</p><p>Análise de vulnerabilidades</p><p>Considerando o cenário em estudo, será preciso realizar a análise de vulnerabilidades, que envolve</p><p>desde a má configuração de um software ou serviço até problemas estruturais de aplicações. Cada</p><p>projeto possui um escopo diferente, e a equipe de testes deve estar atenta. Observe as seguintes</p><p>possibilidades: testar se uma determinada estrutura está vulnerável aplicando-se diversos testes;</p><p>verificar se uma vulnerabilidade já conhecida ainda está em funcionamento ou até com um acesso</p><p>legítimo; examinar quais outras vulnerabilidades estão presentes após um passo crítico de uma invasão.</p><p>Outro ponto importante é o esforço direcionado para cada análise, tamanha a abrangência do teste.</p><p>Caso uma rede inteira deva ser testada, será direcionada uma quantidade específica de esforço em cada</p><p>estrutura. Assim, caso sejam listados hosts específicos, poderá ser dedicado mais tempo em menos alvos</p><p>com o mesmo tempo escalado.</p><p>Quadro 5 – Formas de realização de análises</p><p>Tipo de análise Categorias Atividades</p><p>Ativa</p><p>Descoberta de rede</p><p>Varredores de rede</p><p>Capturadores de banner</p><p>Análise de aplicações web</p><p>Buscadores de falhas em geral</p><p>Força bruta de diretórios</p><p>Verificadores de versões/identificadores de falhas específicas</p><p>Vulnerabilidades em</p><p>protocolos específicos</p><p>Buscadores de vulnerabilidades de VPN</p><p>Buscadores de canais de voz</p><p>Passiva</p><p>Análise de metadados</p><p>Monitoramento de tráfego</p><p>As análises ativas podem ser realizadas por meio de ferramentas automatizadas ou buscas</p><p>manuais. A equipe de testes também deverá avaliar a possibilidade de detecção dessas ferramentas</p><p>automatizadas. Observe os itens a seguir:</p><p>• Varredores de rede: usados para descobrir portas e/ou serviços ativos nos hosts encontrados.</p><p>• Capturadores de banner: enviando pacotes específicos direcionados para aplicações, pode-se</p><p>capturar o tipo e a sua versão instalada.</p><p>25</p><p>PARECERES E TESTES DE INVASÃO</p><p>• Buscadores de falhas em geral: são ferramentas que buscam as falhas e aplicações mais comuns</p><p>presentes, podendo trazer informações valiosas para um ataque mais complexo.</p><p>• Força bruta em diretórios: são rotinas desenhadas para testar e varrer uma série de possibilidades</p><p>de pastas que não são acessíveis caso o atacante as acesse diretamente.</p><p>• Verificadores de versões/Identificadores de falhas específicas: examinar a versão instalada</p><p>do servidor web por versões vulneráveis pode gerar falsos-positivos, pois é possível que elas já</p><p>tenham sido corrigidas. O time de testes poderá também validar quais dos métodos HTTP que esse</p><p>servidor responde, demonstrando fragilidades a serem exploradas.</p><p>• Buscadores de vulnerabilidades VPN: a implementação de troca de chaves de um acesso</p><p>VPN pode não ter sido bem aplicada, assim, ferramentas específicas podem ser executadas para</p><p>descobrir esse processo para futura exploração.</p><p>• Buscadores de canais de voz: cada dia mais as organizações usam canais de voz suplantada</p><p>pela rede, e a má implementação desses protocolos pode abrir uma brecha para vazamento de</p><p>comunicação tanto interna como externa.</p><p>Bem menos agressivas, as análises passivas em geral são complementares aos métodos ativos e</p><p>normalmente são usadas quando o teste de invasão é interno ou já foi realizado com sucesso pelo</p><p>atacante, que obteve acesso à rede interna.</p><p>• Análise de metadados: por meio de documentos capturados, é possível coletar a autoria, a data</p><p>de criação/última versão de um documento e a versão da aplicação usada para criação dos dados.</p><p>• Análise de tráfego: ao examinar o tráfego interno, pode-se capturar pacotes de aplicações</p><p>proprietárias trafegando ativos em texto claro ou através de ferramenta em texto claro ou de</p><p>mercado, causando o mínimo ruído possível. Descarta-se qualquer tipo de técnica que gere ruído</p><p>na rede em sua captura, como desvio de rota de pacotes ou comprometimento de roteadores para</p><p>execução da captura.</p><p>Após a coleta de dados, é preciso analisá-los e correlacioná-los entre si, a fim de desenhar cenários</p><p>com a maior riqueza de informação possível. Pode-se fazer uma lista de estruturas versus vulnerabilidades</p><p>elencadas ou uma lista de vulnerabilidades e quais estruturas possivelmente estão comprometidas.</p><p>Caso o time de testes esteja com uma lista pré-definida para fazer a avaliação, pode-se usar esse</p><p>documento como base.</p><p>Há três atividades que são importantes para a sintetização da coleta de dados:</p><p>• Desenho de árvores de ataque: destaca ameaças, vulnerabilidades e estruturas mapeadas a fim</p><p>de deixar clara visualmente toda a informação mapeada para a fase de exploração; o objetivo é</p><p>não perder nenhuma possibilidade de sucesso.</p><p>26</p><p>Unidade I</p><p>• Testes em laboratório: a melhor forma de conseguir reproduzir uma vulnerabilidade real é</p><p>replicando ao máximo as estruturas do alvo em um ambiente controlado e testar como explorar</p><p>essa vulnerabilidade. Isso diminui a possibilidade de danos indesejados no alvo, assim como</p><p>detecção precoce de ferramentas de proteção.</p><p>• Confirmação manual: muitas ferramentas e scripts trazem resumos de possíveis vulnerabilidades</p><p>encontradas, assim, confirmar manualmente, se possível, vulnerabilidades apontadas nesses</p><p>processos automatizados aumenta bastante a probabilidade de sucesso do teste.</p><p>Ao condensar todas as informações e os resultados encontrados, a equipe de testes fará pesquisas em</p><p>fontes de dados para levantar mais possibilidades de exploração que não foram apontadas anteriormente.</p><p>As fontes mais comuns de informações são:</p><p>• bases de dados de exploits e módulos de frameworks;</p><p>• listas de senhas mais comuns;</p><p>• guias de hardening ou erros de configuração conhecidos.</p><p>Dependendo do alvo e da criticidade dos ativos a serem capturados, caso a invasão tenha sucesso,</p><p>essa fase poderá ser estendida com outras atividades em ambientes de teste, como:</p><p>• Adicionar um depurador a uma aplicação e enviar pacotes de informações aleatórias em</p><p>momentos diferentes para analisar o comportamento da aplicação. Essa atividade, por gerar</p><p>resultados inesperados e gerar problemas de comportamento no ambiente, abre brechas para</p><p>outras formas de exploração.</p><p>• Fazer engenharia reversa em uma aplicação específica para identificar formas de alterar seu</p><p>comportamento através dos seus processos internos. Ferramentas de código aberto facilitam</p><p>muito essa atividade, uma vez que o código original está disponível para consulta. Essa atividade</p><p>requer um alto nível de conhecimento de sistemas operacionais e de programação em baixo nível.</p><p>Com essas informações coletadas, serão analisados os ativos de maior importância para a empresa,</p><p>os cenários em que há maior chance de sucesso, o tempo e o esforço que poderão ser dependidos para</p><p>a efetivação de um ataque.</p><p>Após a fase de modelagem de ameaças, ficam claros os pontos que possuem maiores chances</p><p>de sucesso contra uma invasão. A segurança de uma organização é feita em camadas e pode haver</p><p>sobreposições de proteções. A equipe de testes pode, por exemplo, evadir as regras de filtros</p><p>de IP na</p><p>rede e conseguir acessar uma aplicação web protegida por um portal de login e senha e, com credenciais</p><p>válidas, passar a autenticação de login. Contudo, se a aplicação prever um filtro de endereços IP na</p><p>aplicação, o ataque poderá não ser bem-sucedido. Esse contexto exemplifica que todo levantamento de</p><p>vulnerabilidades e ameaças são indícios, característica de sistemas possivelmente vulneráveis, e na fase</p><p>27</p><p>PARECERES E TESTES DE INVASÃO</p><p>de exploração esses controles previstos e os não mapeados serão colocados à prova. Quanto mais a</p><p>fase de análise vulnerabilidades for acurada, maior será a chance de sucesso.</p><p>Exploração</p><p>A fase de exploração é dedicada a efetivar os ataques a todos os ativos já registrados, levando em</p><p>consideração seu contexto e a probabilidade de sucesso.</p><p>Lembrete</p><p>A fase de exploração deve estar intimamente ligada ao escopo do</p><p>projeto, a limitações e regras de execução. Nesse momento, os riscos de</p><p>impactos são grandes e todo cuidado deve ser tomado, principalmente,</p><p>com a realização dos testes em ambiente de produção.</p><p>No ambiente-alvo, a equipe de testes pode e deve se deparar com medidas de proteção, e sua função</p><p>é conhecer e dominar métodos de evasão para medidas protetivas.</p><p>Observação</p><p>As grandes corporações possuem departamentos inteiros dedicados</p><p>a proteger os ativos e evitar perdas. Por sua vez, o crime organizado</p><p>possui estruturas similares para realizar atividades maliciosas contra</p><p>essas proteções.</p><p>Atualmente, quase todas as máquinas – corporativas ou pessoais – possuem um programa</p><p>antivírus. Trata-se de uma aplicação ou um conjunto de aplicações instaladas que tem como objetivo</p><p>impedir que programas maliciosos habitem e sejam executados no dispositivo-alvo. Esses programas</p><p>convencionalmente funcionam por métodos de assinatura, assim, uma vez que o fabricante detecta um</p><p>vírus, gera sua assinatura e a distribui pela internet para os agentes protetivos instalados. Desse modo,</p><p>quando os agentes encontram um programa que se encaixa na mesma assinatura, protegem o sistema</p><p>da ameaça. Se os fabricantes ainda não tiverem gerado a assinatura de uma ameaça, essa aplicação não</p><p>irá detectar e proteger o dispositivo contra essa ameaça. Existem outras soluções e novas tendências do</p><p>mercado de antivírus que consideram outras questões além da assinatura.</p><p>Outras medidas comuns de proteção que podem ser contornadas:</p><p>• Lista positiva: as máquinas costumam ter uma lista de softwares que podem residir em máquinas</p><p>corporativas, e essas listas positivas agem diretamente no disco rígido, portanto, se uma ameaça</p><p>for executada em memória RAM, essa proteção será efetiva.</p><p>28</p><p>Unidade I</p><p>• Injeção em processos: por meio de falhas em aplicações conhecidas, é possível injetar ameaças</p><p>nos processos que estão em execução, dificultando a detecção de proteções.</p><p>• Ameaças em memória: a maioria das proteções tem como objetivo analisar mudanças no disco,</p><p>como gravação, alteração e remoção de dados. Caso o atacante consiga um vetor de ataque que</p><p>seja ativo somente em memória, dificultará sua detecção, além de não deixar rastros quando a</p><p>memória RAM é reescrita ou quando a máquina é reiniciada.</p><p>• Firewall de aplicações web (WAF): trata-se de uma estrutura colocada antes do tráfego de rede</p><p>ser encaminhado diretamente para aplicação web. Sua função é detectar pacotes malformados e</p><p>técnicas de injeção de scripts maliciosos. De modo geral, firewalls são baseados em regras, assim,</p><p>caso essas regras sejam malconfiguradas ou existam formas de contorná-las, o ataque poderá</p><p>ser bem-sucedido.</p><p>Lembrete</p><p>A ideologia hacker é de pesquisar formas de subverter processos</p><p>desenhados para uma função e realizar outra.</p><p>Cada teste de invasão é diferente, embora algumas situações sejam parecidas, e o time deve ter a</p><p>habilidade de customizar suas próprias ameaças e contornar imprevistos de última hora.</p><p>A seguir, destacam-se medidas protetivas que podem ser usadas tanto para a defesa de explorações</p><p>quanto para a promoção de formas de viabilizar os ataques:</p><p>Quadro 6</p><p>Método Explicação</p><p>Codificar</p><p>Uma forma de embaralhar os bytes em partes do código</p><p>para dificultar a detecção de softwares que analisam</p><p>comportamento malicioso</p><p>Empacotar</p><p>Colocar uma aplicação dentro de um formato/pacote</p><p>diferente, algumas vezes comprimindo pedaços do</p><p>código para evadir métodos de detecção</p><p>Criptografar</p><p>Durante a execução do programa, partes do código</p><p>podem estar criptografadas, e essas partes são revertidas</p><p>ao seu estado normal em memória no momento em que</p><p>o programa está em execução, portanto, ao realizar uma</p><p>análise estática do programa, não se pode determinar</p><p>todas as funcionalidades contidas</p><p>Da mesma forma que essas técnicas são usadas para encobrir como as ameaças realmente</p><p>funcionam e evadir métodos de detecção, são usadas em aplicações legítimas para sua proteção.</p><p>Para realizar ataques em aplicações legítimas, uma das práticas avançadas é realizar engenharia</p><p>reversa na aplicação, assim, ao se deparar com essas medidas, o atacante terá muita dificuldade</p><p>29</p><p>PARECERES E TESTES DE INVASÃO</p><p>para ter sucesso em uma exploração. Como exemplos de técnicas de proteção, citam-se os</p><p>programas protegidos contra pirataria e jogos que ofuscam parte do código para não alteração de</p><p>métricas internas.</p><p>Para melhorar suas atividades, uma equipe de segurança pode criar suas próprias</p><p>ferramentas de trabalho.</p><p>A exploração deve seguir uma linha do tempo. No início, são direcionados os ataques mais</p><p>precisos possíveis. Depois, gradativamente, quando as possibilidades forem sendo descartadas,</p><p>serão feitos testes extensivos de cenários já projetados anteriormente. Esse modelo tem como</p><p>objetivo simular um ataque direcionado e com maiores chances de sucesso; quanto maior o</p><p>volume de tentativas realizadas sem critério, maior será a probabilidade de os sistemas de defesa</p><p>serem detectados mais rapidamente. Nesses casos, é comum que a sensibilidade dos sensores seja</p><p>aumentada ao máximo para evitar perdas.</p><p>Uma vez finalizada a fase de exploração, a equipe de testes terá novos cenários de atuação,</p><p>portanto será necessário realizar uma série de novas atividades.</p><p>Pós-exploração</p><p>O objetivo principal da pós-exploração é verificar quais são os ativos armazenados nas</p><p>estruturas das redes e a sua capacidade de comprometer outras estruturas internas, assim como a</p><p>rede como um todo.</p><p>Também será necessário revisar as regras e o escopo do projeto definido anteriormente; nesse</p><p>momento, as regras são importantes para não desviar o foco do teste ou causar danos internos.</p><p>Observação</p><p>Conforme o avanço do teste de invasão, mais crítico ele fica. Sempre</p><p>que possível, deve-se levantar os possíveis riscos e validar as ações com as</p><p>partes interessadas nos testes.</p><p>Como se trata de um teste, deve-se tomar o máximo de cuidado com as informações adquiridas. Ao</p><p>ganhar acesso a uma máquina, o invasor irá executar rotinas para:</p><p>• Escalar privilégios: normalmente, os usuários corporativos têm o mínimo de permissões</p><p>concedidas para suas atividades, não sendo possível instalar ou remover programas, gravar</p><p>arquivos em pastas internas do sistema ou realizar execução de programas específicos. Caso</p><p>o atacante consiga escalar privilégios para um administrador da máquina, poderá realizar as</p><p>ações anteriores.</p><p>30</p><p>Unidade I</p><p>• Acesso aos ativos: com privilégios administrativos, é possível ter acesso a informações relevantes</p><p>armazenadas tanto na máquina quanto na rede interna.</p><p>Uma prática comum é fazer modificações na máquina que permitam o retorno do atacante, o que</p><p>é feito por meio da instalação de programas que dão acesso e/ou controle remoto externo, bem como a</p><p>criação de novas credenciais administrativas para um futuro acesso.</p><p>Nessa situação, deverão ser tomados os cuidados a seguir para proteger o cliente:</p><p>• Todas as alterações no ambiente devem ser devidamente documentadas.</p><p>• As atividades realizadas no ambiente precisam ser devidamente documentas, tendo sucesso ou</p><p>não em suas tentativas.</p><p>• Todos os dados capturados devem ser armazenados pela equipe de testes e criptografados para a</p><p>segurança da organização testada.</p><p>• Não devem ser usados serviços de empresas/estruturas terceiras sem o consentimento prévio da</p><p>organização-alvo.</p><p>É importante que a equipe de testes se resguarde quanto a alguns cuidados, como:</p><p>• Verificar as leis vigentes que incidem diretamente sobre as atividades e informações que estão</p><p>sendo coletadas.</p><p>• Estar presente no contrato firmado entre as partes, certificando-se de que os testes realizados</p><p>sejam feitos a pedido da organização.</p><p>• A empresa deve deter os direitos de uso dos dados que poderão ser acessados e capturados.</p><p>• Criptografar totalmente mídias físicas ou lógicas que forem armazenar informações da organização.</p><p>• Qualquer procedimento que envolva terceiros no teste precisa ser devidamente documentado e</p><p>revisado pelo terceiro.</p><p>Tendo total controle de uma máquina, serão realizadas rotinas de reconhecimento similares às</p><p>anteriores. Nesse instante, como a perspectiva é interna, a tendência é que as possibilidades sejam</p><p>maiores. O quadro a seguir expõe as atividades a serem executadas na máquina comprometida.</p><p>31</p><p>PARECERES E TESTES DE INVASÃO</p><p>Quadro 7</p><p>Programas instalados</p><p>Itens inicializados com o</p><p>sistema operacional</p><p>Identificar o propósito dessa máquina na rede assim como programas</p><p>importantes instalados</p><p>Lista de programas</p><p>instalados</p><p>Identificar programas de proteção instalados e aplicações que podem ser</p><p>executadas</p><p>Lista de atualizações</p><p>do sistema operacional</p><p>instaladas</p><p>Identificar o nível de proteção da máquina perante as atualizações do sistema</p><p>operacional</p><p>Serviços de segurança Firewalls, IDS, IPS, antivírus instalados, EDRs</p><p>Compartilhamento de</p><p>arquivo/ impressão</p><p>Informações de árvores de diretórios, permissões de acesso e escrita nas</p><p>pastas. Envolve tipos críticos de dados armazenados, como: código-fonte,</p><p>documentos internos, backups, planilhas de orçamento etc.</p><p>Base de dados Lista de base de dados existentes no servidor, tabelas, campos, valores contidos</p><p>em tabelas, usuários, procedimentos armazenados e trabalhos agendados</p><p>DNS internos Serviço de DNS instalado traz informações valiosas sobre o tráfego de</p><p>informações trocadas na rede interna</p><p>Servidores de atualização Aplicações e atualizações disponibilizadas para as máquinas na rede</p><p>Certificados Certificados de autoridade usados internamente, certificados raiz de</p><p>aplicações, criação de certificados novos e revogação de certificados vigentes</p><p>Servidores de</p><p>código-fonte</p><p>Listar projetos vigentes, verificar código-fonte dos projetos, modificar</p><p>arquivos, listar desenvolvedores e configurações de sistemas</p><p>Servidor de configuração</p><p>de IPs dinâmicos Listar e alterar configurações de concessão de IPs na rede</p><p>Virtualizações</p><p>Listar máquinas virtualizadas e as credenciais armazenadas nelas, listar</p><p>tecnologia usadas na virtualização, dados armazenados e analisar o total</p><p>controle de virtualizações na rede</p><p>Sistema interno de troca</p><p>de mensagens</p><p>Identificar troca de informações, credenciais de acesso e arquivos através de</p><p>mensagem interna</p><p>Sistemas de backup Listar arquivos de backup disponíveis para leitura</p><p>Monitoramento e</p><p>administração</p><p>Sistemas de monitoramento e administração remota da máquina, como:</p><p>serviços de SSH, Telnet, Remote Desktop Protocol</p><p>Análise de</p><p>infraestrutura</p><p>Interfaces Identificar quais estruturas estão conectadas a essa máquina, assim como</p><p>endereços IPs</p><p>Rotas Nomear rotas dinâmicas e estáticas para enumerar sistemas não mapeados</p><p>anteriormente</p><p>Servidores DNS Definir DNS que podem ser usados para descobrir novas estruturas não mapeadas</p><p>Servidores proxy Destacar proxies para pontuar e eventualmente modificar o tráfego interno de</p><p>informações</p><p>Portas lógicas abertas Identificar serviços oferecidos na rede, assim como abrir portas de</p><p>administração remota da máquina para futuros acessos</p><p>Serviços de VPN Pontuar acessos a outras redes/sistemas com novas possibilidades de</p><p>exploração, assim como suas credenciais de acesso a esse sistema remoto</p><p>Dados sensíveis locais</p><p>Registro de teclas</p><p>digitadas Informações digitadas pelo usuário do equipamento</p><p>Registro de tela Informações exibidas na tela do usuário</p><p>Navegador web Histórico de navegação e download, sites favoritos, credenciais, proxies de</p><p>navegação e extensões instaladas</p><p>Chaves criptográficas Chaves de acesso remoto e chaves de criptografia de documentos</p><p>Documentos Planilhas, memorandos, reportes e apresentações</p><p>32</p><p>Unidade I</p><p>Após reconhecer as estruturas e avaliar as possibilidades de comprometimento de ativos, a</p><p>equipe de testes estudará meios de extrair esses ativos da rede interna. Essa etapa deve estar</p><p>alinhada também às regras de execução do teste para simular uma extração real.</p><p>A extração dos dados tem como objetivo testar controles de vazamento de dados, que variam</p><p>desde simples conexões com a internet em um servidor remoto preparado para receber dados sensíveis</p><p>a métodos evasivos, como vazamento particionado de informações criptografadas/ofuscadas.</p><p>Observação</p><p>As técnicas usadas para comprometer um sistema podem ser das mais</p><p>variadas e sofisticadas, tanto que podem levar anos para serem descobertas.</p><p>Terminada a fase de exploração ativa, a equipe de testes deverá fazer a limpeza do ambiente</p><p>comprometido. Para tal, são adotadas as seguintes ações:</p><p>• remover todos os executáveis, scripts e arquivos temporários;</p><p>• reconfigurar as alterações realizadas no ambiente;</p><p>• remover as vulnerabilidades instaladas;</p><p>• remover contas e sistemas conectados ao sistema comprometido.</p><p>2.3 Finalização e reporte</p><p>Nessa fase, os principais cuidados são o descarte seguro de evidências e o reporte seguro dos testes</p><p>realizados. A equipe de testes deve garantir a destruição segura dos dados gerados através do teste,</p><p>impedindo o reaproveitamento em casos de vazamento ou roubo de dados.</p><p>Após o reporte com as evidências ser gerado e já entregue, este passará a ser também um ativo</p><p>importante para a organização. Em caso de um vazamento de dados, esse reporte traz informações</p><p>valiosas do que poderá ser realizado contra a organização, suas medidas protetivas e se há possibilidade</p><p>de contornar essas medidas. Em alguns casos, tem força suficiente para causar a repetição das atividades</p><p>realizadas, gerando um ataque mais preciso ao ambiente privado.</p><p>São produzidos pela equipe de testes dois relatórios, um executivo e um técnico. O resumo executivo</p><p>possui as seções:</p><p>• histórico;</p><p>• postura geral;</p><p>33</p><p>PARECERES E TESTES DE INVASÃO</p><p>• ranking de risco/perfil;</p><p>• resultados gerais;</p><p>• recomendações.</p><p>O relatório técnico trata-se de uma documentação extensa, contendo todos os detalhes do projeto:</p><p>• pessoas envolvidas tanto da equipe de testes quanto da organização;</p><p>• informações de contato;</p><p>• ativos envolvidos nos testes;</p><p>• objetivos do teste;</p><p>• escopo do teste;</p><p>• força do teste;</p><p>• natureza do teste;</p><p>• estrutura do teste.</p><p>Na coleta de informações, destacam-se os seguintes aspectos:</p><p>• informações passivas: a organização deve ter a visão de quanto está exposta à coleta de dados</p><p>em ambientes públicos;</p><p>• informações ativas: deve ser avisado o quanto se pode obter de informações enviando tráfego</p><p>diretamente para suas estruturas;</p><p>• informações corporativas: dados sobre a estrutura da organização, o ramo de atividade e a</p><p>posição no mercado;</p><p>• informações de pessoal: registros sobre estruturas internas, funcionários e suas posições,</p><p>projetos e repositório de dados externos que ligam o ambiente externo ao interno.</p><p>Na avaliação, são verificadas vulnerabilidades técnicas/lógicas e de processos e é criado o</p><p>sumário de resultados.</p><p>Na exploração, estudam-se a linha do tempo, os alvos selecionados e as atividades de exploração.</p><p>Nesse contexto, são elencadas estruturas que não puderam ser exploradas, os ataques realizados e os</p><p>34</p><p>Unidade I</p><p>que foram bem-sucedidos, a escalação de privilégios etc. Por sua vez, a correção traz referências da</p><p>vulnerabilidade explorada</p>