ebook-wifi-hacking

Prévia do material em texto

e-book
SEGURANÇA EM
WIRELESS
AMBIENTES
2
Estamos em uma crescente onda de criação e 
utilização de dispositivos que buscam facilitar nossas 
tarefas diárias seja a âmbito empresarial ou pessoal, 
cada vez mais utilizamos recursos tecnológicos que 
exigem uma conexão com a rede. Tal demanda gera 
uma necessidade em analisar quais as melhores 
tecnologias a serem empregadas em diferentes 
aspectos para garantir um ambiente seguro.
Uma grande novidade vem sendo a internet das 
coisas consistindo na utilização de objetos cotidianos 
com acesso a internet como televisor, videogame, 
fechaduras inteligentes, babá eletrônica, etc... Estes 
dispositivos dependem de um acesso a rede seja 
para recursos locais ou hospedados na nuvem. 
Além de apenas conectividade é preciso projetar 
a interoperabilidade para que diferentes tipos de 
dispositivos tenham a capacidade de se comunicar 
entre si e acessar os mesmos recursos (semelhantes 
ou não). Para esta interoperabilidade ocorrer, 
fabricantes passaram a projetar seus aparelhos com 
placas de rede interna.
SEGURANÇA EM
WIRELESS
AMBIENTES
3
Entramos então em um ponto crucial. A crescente 
demanda de acesso a rede por parte de diferentes 
dispositivos fez com que os ambientes wireless 
fossem implementados em larga escala, onde muitas 
vezes a segurança pode não ser uma alta prioridade. 
Visando garantir pelo menos a mínima segurança em 
tais ambientes alguns pontos devem ser levantados, 
como a forma de autenticação de usuários através 
de métodos seguros, segmentação de rede para 
um melhor direcionamento de recursos etc... A 
questão é: O que deve ser levado em consideração 
na implementação de uma rede para garantir a 
segurança adequada a todos? Estas medidas de 
segurança podem ser burladas por alguém com 
conhecimento na área?
Dentre várias áreas da Segurança da Informação 
temos a segurança ofensiva onde o profissional 
atuante é o Pentester. Este material visa explorar 
alguns dos principais conceitos de segurança em 
relação a um ambiente Wireless.
4
01
Quando se fala em segurança uma das primeiras 
coisas que pode vir a mente é a utilização de 
senhas. De fato, uma senha forte é vista como 
uma boa prática de segurança, mas será que 
apenas implementar uma senha grande torna o seu 
ambiente mais seguro?
Nem sempre! É claro que uma rede aberta expõe 
o seu ambiente e o torna inseguro, porém alguns 
métodos de autenticação utilizados em WiFi são 
tão fracos que alguém com conhecimentos básicos 
em segurança conseguem burlar-los em questões 
de minutos.
Com certeza você não irá querer a sua rede exposta 
a um agente mal intencionado.
Então como primeiro passo podemos entender um 
pouco mais sobre os três métodos de autenticação 
de senha em WiFis, sendo eles:
WEP - Wired Equivalent Privacy
WPA - Wi-Fi Protected Access
WPA2 - Wi-Fi Protected Access 2
TECNOLOGIA
WIRELESS
5
1.1 Ferramentas Essenciais
Dentre várias ferramentas disponíveis no mercado algumas são essenciais na 
exploração geral de um ambiente Wireless independente de seu tipo, porém 
cada etapa de testes terão ferramentas específicas e direcionadas para um 
determinado tipo de ataque. 
Abaixo para o início de exploração na análise de rede e interceptação de 
pacotes temos o conjunto de ferramentas disponibilizado pelo Aircrack, onde 
se evidencia muito útil e versátil para direcionarmos diferentes testes.
FERRAMENTA
aircrack-ng
airmon-ng
airodump-ng
aireplay-ng
Identificação de redes, sniffer e quebra de senhas
Gerenciamento de placa de rede: modo monitor e canais
Capturar pacotes de redes em monitoramento
Injetor de pacotes/frames na rede para ser utilizado 
posteriormente com o aircrack.
FUNCIONALIDADE
Do mais antigo ao mais recente a implementação 
pode ser feita utilizando um dos três para 
prover os meios de autenticação na rede, onde 
consequentemente o WPA2 é o mais indicado por 
ser mais recente e seguro. Como falaremos dos 
tipos de autenticações, é interessante sabermos 
que existem ferramentas que podem auxiliar 
nestas análises de segurança, as quais veremos 
brevemente a seguir.
A documentação do Aircrack Suit pode ser vista em seu site oficial: https://www.aircrack-ng.org
https://www.aircrack-ng.org
6
02ENTENDENDO
DE AUTENTICAÇÃO
OS MECANISMOS
A implementação de uma senha como já visto é o 
primeiro passo a dar visando aumentar a segurança 
do ambiente. Mas nem sempre uma senha grande 
é considerada forte, depende do método que o 
ambiente utiliza na rede para a validação de tais 
dados. Um exemplo simples seria imaginar uma 
conversa com um amigo onde você sempre fala uma 
senha para que ele saiba que é você, porém uma vez 
que outras pessoas escutem esta senha ela pode 
ser comprometida.
O nível de segurança de uma rede com senha 
para um usuário comum pode ser indistinguível 
independente do método utilizado, porém para um 
usuário avançado com conhecimentos na área a 
percepção é bem diferente.
7
2.1 WEP - Wired Equivalente Privacy
Criada em 1999, ampara basicamente todos os tipos de dispositivos 
WiFi do mercado. Por ter sido concebido como primeiro método para 
autenticação wireless, o seu nome “Privacidade Equivalente ao Cabo” 
(Wired Equivalente Privacy), sugere que a segurança em sua utilização 
seria a mesma utilizada em uma internet cabeada. Tal concepção foi bem 
vista em meados de 2000, porém o método logo tornou-se obsoleto nos 
anos posteriores após diferentes descobertas de vulnerabilidades em sua 
implementação.
O WEP está oficialmente obsoleto desde meados de 2004, quando a 
associação que certifica produtos sem fio (wifi Alliance), parou com o 
suporte a ela.
WEP utiliza um algoritmo chamado RC4 que 
consiste em um codificador de fluxo. Além 
do RC4, temos a utilização de vetores de 
inicialização (Initiator Vector), que envia em 
texto limpo as cifras para validar e garantir 
que a mesma não se repita. 
O conceito de não repetição cai por terra 
com o alto processamento de computadores 
comuns da atualidade. É visto que de período 
em período as chaves se repetem, com isso a 
quebra consiste na análise de fluxo da rede. 
Em resumo, a quebra pode ocorrer em menos 
de um minuto dependendo do fluxo da rede 
no momento da interceptação.
Para um usuário comum a quebra pode ser 
bem difícil, mas alguém com o intuito real de 
quebrar o WEP consegue a façanha em alguns 
minutos e pesquisas na web, independente do 
tamanho e variedade de caracteres especiais 
que seja definido no roteador.
Dessa forma, NÃO É indicado a utilização do 
WEP em consideração aos atuais padrões de 
segurança. 
Para suprir as necessidades de melhoria do 
WEP, a Wifi Alliance ao final de 2003 possui o 
projeto sucessor: o WPA também conhecido 
como WEP2, o qual prometia melhorias 
melhorias ao WEP que foi descontinuado no 
ano seguinte.
PROBLEMA DE SEGURANÇA
8
2.2 WPA - Wi-Fi Protected Access
Com o desenvolvimento e implementação do WPA antigos problemas do 
WEP teriam teoricamente sido resolvidos. A tecnologia empregada associou 
pontos do antigo protocolo para que aparelhos não ficassem obsoletos, 
porém com essa herança o WPA surgiu também alguns problemas conhecidos.
Focando em pontos positivos, o “novo protocolo” foi desenvolvido com uma 
criptografia de 256 bits, antes 128 pelo WEP, demonstrando uma forte melhoria 
assim como um novo sistema de analise de pacotes e alguns outros recursos. 
Mas nem tudo são flores, como foi um upgrade e a ideia era não tornar os 
dispositivos que suportavam WEP obsoletos, com todas as mudanças o WPA 
herdou muita coisa de seu antecessor tornando-o passivo a diferentes falhas 
conhecidas porém exploradas de um modo diferente.
Ainda que não tão seguro o WPA proporciona uma maior segurança 
comparado com o WEP, mas a quebra da senha ainda poderia ser realizada 
através de um ataque de força bruta com wordlists direcionadas.
A quebra do WPA consiste nacaptura de HandShakes na rede. HandShake 
é o “aperto de mão” entre um dispositivo e o roteador, processo ao qual o 
usuário se autentica com uma senha correta e recebe o acesso ao ambiente. 
Neste caso a captura é realizada externamente pelo atacante esperando um 
usuário real se autenticar. Após capturado um HandShake válido o ataque 
a senha ocorre de forma offline onde ele é comparado com diferentes 
possibilidades de senhas através de ferramentas apropriadas.
Sem nos prolongar muito sobre a criptografia envolvida na comunicação 
do WPA, falaremos posteriormente sobre o WPS, uma funcionalidade bem 
interessante criada em 2006 com a promessa de facilidade na configuração 
de novos dispositivos na rede, mas tal funcionalidade pode ter um impacto 
negativo na segurança do WPA.
9
Bem, os métodos de autenticação de senhas passaram do WEP para o WPA 
e foi visto que uma migração de tecnologia sem tornar dispositivos obsoletos 
pode ser um problema tendo em mente as possíveis falhas de implementação 
herdadas. Então buscando um avanço significativo para a segurança foi 
desenvolvido o terceiro protocolo: o WPA2.
2.3 WPA 2 - Wi-Fi Protected Access 2
 
Agora amparado por um conjunto completo de especificações de segurança 
desenvolvido pela WiFi Alliance (IEEE 802.11i), o WPA2 veio com a promessa 
de garantir integridade e maior segurança buscando evitar os vetores de 
ataques anteriores. 
O padrão agora possui criptografia AES (Advanced Encryption Standard) que 
por implementação é bem mais segura que as anteriores porém exige um 
maior processamento, o qual pode gerar um certo impacto no desempenho 
de equipamentos mais fracos. O WPA2 diferente do antecessor, não era 
compatível com todos os dispositivos que foram projetados para o WEP.
Sem entrarmos muito na questão de criptografia e tráfego, em comparação 
com os protocolos de segurança vistos até então o WPA2 é o mais seguro 
entre eles.
10
PROBLEMA DE SEGURANÇA
em 2006 WiFi Alliance desenvolveu 
uma tecnologia que prometia uma 
rápida e fácil configuração de novos 
dispositivos na rede, o chamado 
WPS (Wifi Protected Setup). Tal 
funcionalidade proporcionou (e 
proporciona), uma experiência rápida 
e prática na configuração mas que 
pode comprometer toda a segurança 
de um ambiente caso ativa e/ou 
utilizada em equipamentos antigos.
Assim como o WPA, a quebra do 
WPA2 exige que o atacante esteja 
posicionado próximo a rede wireless e 
seja capaz de interceptar os pacotes 
para a captura de um HandShake 
válido. O processo da quebra se dá 
da mesma forma que a anterior 
envolvendo força bruta offline, 
comparando os arquivos capturados 
com uma wordlist de possíveis senhas.
Além dos protocolos de segurança, 
11
2.4 Funcionalidade WPS - WiFi Protected Setup
Basicamente este recurso não é um protocolo e sim um padrão de segurança 
onde permite que dispositivos sejam pareados na rede sem a necessidade de 
inserção de senhas! Operando de forma simples o novo recurso ganhou público 
e fãs pela praticidade na configuração e implementação de novos dispositivos 
na rede.
Sua funcionalidade consiste em um PIN numérico de 8 caracteres e uma interface 
fácil para configuração. Enfatizando: um PIN Numérico, de oito caracteres. Por 
ser uma sequência numérica podemos imaginar que não demorou para surgir 
problemas, uma sendo estático pelo aparelho não possibilitando a mudança, 
não demorou para que brechas de segurança surgissem. Uma vez que um 
atacante quebrasse o PIN, ele teria acesso a rede ainda que o administrador 
realizasse a troca do SSID e chaves de segurança.
Outro ponto fundamental da perspectiva da segurança é que este PIN possui um 
padrão de validação da parte do roteador através de tentativas mal sucedidas, 
onde ele envia um pacote EAP-NACK. Este pacote permite que o atacante 
descubra os 4 primeiros dígitos do PIN, restando apenas outros 4 para descobrir, 
certo? Seriam 4, porém o último dígito é o checksum dos anteriores...
PROBLEMA DE SEGURANÇA
Ao enviar tentativas erradas o 
roteador envia um pacote EAP-
NACK, onde disponibiliza informações 
dos 4 primeiros dígitos após uma 
certa quantidade de tentativas mal 
sucedidas. Sabendo dos 4 primeiros o 
atacante precisará gerar uma wordlist 
com os próximos 3 dígitos, validando a 
sequência com o checksum final. Dessa 
forma a quantidade de tentativas cai 
drasticamente de 1 bilhão para apenas 
algumas milhares, tornando o processo 
viável a quebra com algumas poucas 
horas de teste.
Normalmente o WPS pode ser 
desabilitado do roteador, porém em 
alguns casos mesmo marcando como 
desativado a falha ainda persiste, 
tornando possível explorá-la.
12
Observação:
Em novos equipamentos o ataque ao WPS exige 
uma engenharia social, o que torna o processo mais 
complicado uma vez que submetido a intensos 
testes ele é bloqueado. Dessa forma é necessário 
que o alvo reinicie o aparelho para o atacante 
conseguir submeter novos ataques. Existem meios 
para forçar um reboot por parte do atacante, porém 
não é aconselhado e nem sempre válido/funcional. 
Mas afinal, qual é o melhor método de autenticação de 
senhas para se utilizar?
Esta questão, falando de um ambiente empresarial, depende muito do estado 
em que os ativos se encontram. Muitas vezes quando uma empresa possui 
uma grande quantidade de dispositivos muitos deles podem ser antigos e não 
suportar o padrão WPA2-PSK, levando então a configuração de uma rede mista. 
Esta configuração permite que os dispositivos sejam compatíveis tanto com 
WPA e WPA2, utilizando a criptografia TKIP e AES. O indicado é que sempre seja 
utilizado equipamentos atualizados com a tecnologia mais recente disponível, 
garantindo assim uma maior segurança para o ambiente.
Atualmente em 2020 já há em alguns modelos de roteadores atualizações para 
a implementação do WPA3, o qual foi anunciado pela Wifi Alliance como sendo 
uma tecnologia que superaria todas as anteriores com relação a segurança. 
Porém, assim como o WPA recebeu uma herança do WEP, o mesmo ocorreu com 
o WPA3 onde parte da implementação vem da bagagem do WPA2.
A questão na utilização do melhor ou pior é sempre partir para o protocolo e 
dispositivo mais atualizado. Os fatores são diversos, mas uma vez que uma nova 
tecnologia é lançada e aprovada pelo mercado os dias ficam contados para o 
encerramento do suporte e manutenção da anterior tornando-a obsoleta.
13
03
Nesta parte podemos segmentar o conteúdo em 
dois principais pontos para explorarmos melhor os 
vetores de cada alvo:
Ambiente Wireless para clientes, com rede 
aberta;
Ambiente Wireless privado para funcionários 
autenticados.
WIRELESS EM
EMPRESARIAIS
AMBIENTES
14
3.1 WiFi para Clientes e convidados - Captive Portal
Muitas pessoas passam uma boa parte do dia conectadas na internet, e é 
definitivamente frustrante para muitos aguardar um período ocioso em um 
estabelecimento sem a tão querida 3g. Visando o bem estar dos clientes, 
muitas empresas vêm adotando a prática de rede aberta para os seus 
usuários enquanto permanecem no estabelecimento. Esta prática se torna 
muito eficaz com a utilização dos recursos de um Captive Portal.
Um “Portal Cativo” realiza a liberação automática de acesso WiFi através 
de um processo pré estabelecido pela gerencia do ambiente. Funciona 
basicamente assim: O usuário seleciona e conecta-se na rede aberta do 
ambiente onde não é solicitado senha, mas em seguida ao tentar navegar 
na internet (utilizando o navegador), o usuário é direcionado para a página 
do Captive Portal para realizar a sua devida autenticação. O modo como o 
usuário realizará a autenticação depende de com o Captive foi configurado, 
porém dentes as mais comuns temos:
Checkin com Facebook, twitter e afins;
Usuário e senha de cadastros, por exemplo em universidades;
Senhas temporárias geradas pela recepção; 
E os self service, onde informando alguns dados é recebido código de 
ativação via e-mail ou sms.
Um exemplode autenticação pode ser evidenciado na imagem abaixo:
15
Esta rede é um exemplo de como algumas instituições de ensino utilizam 
seus portais cativos, onde para o acesso é necessário um cadastro prévio do 
aluno, como o login no ambiente de estudos, e o mesmo pode ser utilizado 
para acessar a internet aberta da instituição. A administração do portal 
pode incluir diferentes regras de acesso, com isso o administrador poderá 
definir diferentes parâmetros para os usuários se autenticarem e restringir as 
limitações de acessos. 
A princípio a tecnologia possui uma autenticação funcional, mas será que há 
meios de realizar um bypass nestes métodos e acessar a rede ainda que o 
usuário não tenha realizado as etapas esperadas de autenticação (como no 
caso, um prévio cadastro)?
A resposta é sim! 
O fato da utilização de redes abertas suprir um conforto pode custar caro 
para quem utiliza os meios digitais para fins de negócios. Uma vez conectado 
em uma rede “sem jurisdição”, qualquer usuário pode se autenticar a ela e, 
não sabemos se estes usuários são pessoas utilizando-a para fins pessoais 
aos quais ela foi inicialmente idealizada, ou se são agentes maliciosos 
interceptando tráfego a espera da captura de uma informação importante, 
como aplicações bancárias.
Vamos pensar em um cenário real para sentir o impacto! Imagine que um 
agente mal intencionado quer muito comprometer uma determinada 
empresa mas esta empresa é muito segura e investe pesado na segurança 
(tanto física quanto digital). Eventualmente ele descobre que um importante 
funcionário dela se hospedará em um determinado hotel. Então este agente 
mal intencionado poderá preparar diferentes formas de atacar o funcionário, 
caso o mesmo se autentique na rede aberta. 
Na menor das hipóteses caso o funcionário realize a autenticação e passe a 
utilizar os recursos da rede, o atacante poderá interceptar seus dados e obter 
16
alguma informação. Já na pior das hipóteses o atacante através de técnicas 
de engenharia social poderá induzir o funcionário hóspede ao download de 
arquivos maliciosos como uma backdoor infectando assim o seu dispositivo. 
Este seria um dos piores cenários literais de um “Cavalo de Tróia”, onde um 
funcionário pode estar levando literalmente para dentro de um ambiente 
seguro um dispositivo infectado, com poder de comprometer toda a segurança 
de dentro para fora.
Entramos então num tema interessante, as redes enterprise com um alto 
teor de segurança! 
Em redes empresariais o nível de segurança exigido é relativamente maior 
em comparação a redes domésticas ou públicas, visto a importância e valor 
de seus ativos. A implementação de servidores RADIUS para a autenticação 
é bem vista nestes meios, agregando um maior controle no acesso de 
dispositivos.
17
3.2 RADIUS
RADIUS (Remote Authentication Dial In User Service), de um modo fácil de 
entender seria uma protocolo de autenticação de pergunta e resposta entre 
o servidor RADIUS e o dispositivo onde é realizado uma validação de sua 
identidade.
Com base nisso, temos os seguintes elementos:
Cliente: Dispositivo que deseja acessar um determinado recurso na rede.
NAS (Network Authentication Server): Dispositivo que recebe o pedido 
do cliente, responsável por encaminhar a solicitação pro RADIUS e 
devolver a resposta para o cliente.
Servidor RADIUS: Servidor que valida o pedido do NAS, onde a resposta 
pode ser positiva onde como retorno é encaminhado uma tabela com 
parâmetros de respostas, ou negativa (onde não é acompanhada de 
nada, apenas rejeita o pedido).
Mas como isso funciona?
1. O dispositivo envia uma requisição para a roteador;
2. O roteador recebe a requisição de acesso e encaminha ao servidor RADIUS
3. O servidor RADIUS encaminha uma resposta ao roteador aceitando ou não o 
dispositivo;
4. O roteador wireless irá aceitar ou negar, conforme resposta do servidor 
RADIUS.
18
A segurança envolvida neste processo é alta visto que a variedade de regras 
de aceitação do servidor RADIUS que determinam o acesso do dispositivo 
a rede. As solicitações entre o servidor e cliente são autenticadas através 
de um Shared Secret (segredo compartilhado) conhecido previamente tanto 
pelo RADIUS quanto pelo cliente, o qual nunca trafega pela rede. Com isso as 
senhas são criptografadas para evitar que dados sejam coletados por um 
agente mal intencionado que possa estar interceptando o tráfego. 
O nível de segurança irá depender estritamente das configurações 
implementadas no servidor RADIUS e aceitas na rede. Ainda sendo um 
processo considerado seguro, há alguns fatores que podem comprometer 
o ambiente, como a questão de engenharia social em colaboradores com 
dispositivos autenticados no momento.
19
04
Uma das possíveis formas de obter acesso a uma 
rede considerada segura e completa (independente 
de sua arquitetura ou método de autenticação), é 
através de engenharia social. Há diferentes técnicas 
envolvidas que podem ser utilizadas para atacar 
ambientes e burlar os mecanismos de segurança, 
fazendo as regras entenderem que o dispositivo 
externo é de fato um conhecido e confiável da rede.
A exploração de sistemas considerados seguros 
vai além de apenas explorar uma vulnerabilidade 
de software conhecida, pois muitas vezes o 
protocolo e as regras de implementações podem ser 
consistentes a ponto de não sairmos do ponto de 
origem. Em implementações RADIUS nos ambientes 
corporativos, podemos explorar algumas dessas 
técnicas (legalmente, estamos falando sobre 
Pentest é claro).
Um exemplo clássico (e básico) para demonstrar o 
impacto de uma engenharia social é a utilização de 
um Evil Twin.
ENGENHARIA
TÉCNICAS INVASIVAS
SOCIAL
20
4.1 Evil Twin
Evil Twin, ou Rogue AP é uma técnica muito interessante, ainda que simples, 
mas funcional dependendo do nível de configuração e meios disponíveis no 
momento. Consiste na criação de uma rede falsa com configurações “iguais” 
a rede real do alvo.
Ao criarmos uma rede falsa, a configuração envolvida em nosso dispositivo 
irá gerenciar todo o fluxo de quem nela se conectar. Já podemos sentir o 
impacto disso caso um colaborador pense que esta rede falsa é de fato uma 
rede real da empresa, correto?
Correto...
Para este cenário funcionar vamos imaginar o fluxo de uma grande empresa. 
Nesta grande empresa existem diferentes Access Point espalhados onde há 
o roaming de dados. Nem sempre o funcionário ficará no mesmo local, ou 
mesmo ficando poderá existir um ou mais sinais válidos em que ele poderá se 
autenticar! Normalmente o processo é automático durante o roaming... Ok... 
Mas e o Evil Twin? Você, tendo dois possíveis pontos de acesso conhecido, 
sabendo que poderá se conectar em qualquer um deles, irá escolher qual? 
Exato, o que possui o sinal mais forte! 
Mas o que fará com que o usuário escolha o SEU Access Point ao invés do 
real? Bem, esta pode ser uma questão de Deauth. Uma vez que podemos 
ficar desautenticando o usuário do acesso real, ele irá acessar o falso e ver 
que as quedas na internet pararam, com isso automaticamente adotará o 
ponto de acesso do atacante como o melhor.
21
Abaixo podemos ver um ciclo de como o ataque ocorre:
1. O usuário está autenticado, então o atacante envia um Deauth e 
desconecta-o;
2. O usuário verifica o SSID da rede dele (porém o falso) e realiza o login
3. O atacante passa a interceptar o tráfego do usuário e se bem 
configurado, direciona-o a fim de não levantar suspeitas.
Entre diversas técnicas, a engenharia social bem aplicada em um cenário 
projetado pode surtir um ótimo efeito durante os testes em um ambiente 
Wireless. Este é um exemplo simples, porém com boas configurações o 
processo pode se tornar invisível diante o usuário que sequer saberá o que 
realmente ocorreu. 
Em um cenário mais avançado, é possível levar o acesso ainda além! 
Imagine que o atacante já possui acesso a rede e já está em posse de dados 
sensíveis,porém ainda assim ele precisa de um acesso privilegiado a outro 
determinado local onde apenas alguns usuários são autenticados. Uma vez 
22
com acesso a rede, ele poderá configurar a rota de sua rede falsa para a rede 
real da empresa! Assim todos os colaboradores que se conectarem na rede 
falsa estarão usufruindo de recursos da rede interna da empresa, tornando o 
processo transparente e dificilmente perceptível.
Até aqui já podemos ter uma boa noção de diferentes aspectos sobre testes 
em redes Wireless, como: Autenticações, redes abertas, interceptação de 
tráfego, e um overview sobre redes corporativas, redes com alto teor de 
segurança. 
Mas o que se faz em um Pentest quando é obtido um acesso não autorizado 
na rede? Acabou? Não necessariamente.
É aí, na verdade, que o serviço começa.
23
05
Se a exploração é considerada importante para 
identificar as fraquezas de acesso ao ambiente, 
a pós exploração determinará o quanto essas 
fraquezas poderão afetar o seu negócio.
A questão da pós exploração é identificar até qual 
ponto um ambiente poderá ficar exposto, porém isso 
dependerá de cada caso. A pergunta que devemos 
fazer neste ponto é: Até onde é possível chegar?
Após obter acesso não autorizado a uma rede o 
serviço de pós exploração consiste em analisar o 
ambiente interno, identificar hosts ativos, portas 
e serviços abertos, analisar suas versões... Enfim, 
realizar um mapeamento completo do ambiente 
para entender como o mesmo funciona e quais 
são os principais serviços ativos que podem ser 
comprometidos.
Um dos melhores scanners de rede para auxiliar 
neste processo é definitivamente o Nmap 
(https://nmap.org)!
PÓS
EXPLORAÇÃO
https://nmap.org
24
Existem diferentes funcionalidades possíveis a ser exploradas com ele, como:
Descoberta de dispositivos ativos na rede;
Identificação de portas TCP e UDP (abertas e filtradas);
Identificação de serviços e versões;
Enumeração específica por um determinado dispositivo/serviço (ou um 
scan completo na rede possibilitando a segmentação conforme desejado, 
como /24 e afins)...
Scripts automatizados de vulnerabilidades, entre outros.
Assim que o ambiente é mapeado e novos hosts são identificados, as 
possibilidades de ataques podem variar de diferentes formas dependendo 
do que foi encontrado. A descoberta de serviços vulneráveis pode ser 
automatizada com funcionalidades dos scripts NSE.
Abaixo estamos utilizando uma distribuição Linux, o Kali, onde contempla 
diversas ferramentas de exploração ofensiva incluindo o nmap e seus scripts. 
Podemos verificar alguns dos scripts disponíveis:
25
Cada script possui suas configurações e funcionalidades, onde os mesmos 
exigem parâmetros específicos para a exploração. A identificação desses 
parâmetros e modo de uso pode ser explorada na leitura dos mesmos, onde 
é explicado como cada um deve ser utilizado (por exemplo passando uma 
porta, ou um caminho específico do alvo).
Realizando um scan é visto que o alvo possui a porta 445 aberta, trata-se de 
um smb:
26
Sabendo que há um SMB no host identificado, podemos procurar através de 
filtros scripts direcionados ao smb:
Utilizando um script específico para análise, vamos pegar o “smb-os-discovery.
nse” como exemplo. Este script exige apenas um parâmetro: a porta alvo! 
Observação:
Podemos apenas executar o script sem passar a porta, 
porém o nmap irá realizar um novo scan para identificar 
se de fato há a porta 445 aberta, o que poderá demorar 
e é desnecessário uma vez que já temos a certeza de 
que a porta 445 está no estado “open”.
27
Como resultado obtemos várias informações relevantes do host, identificadas 
pelo script.
Este foi apenas um exemplo do poder que os scripts NSE nos proporcionam. 
Existem diferentes outros scrips relacionados a vários serviços, possibilitando 
o teste em variados cenários. É essencial que um profissional de segurança 
saiba explorá-los, uma vez que a má configuração ou a versão utilizada possa 
ser passível de vulnerabilidades conhecidas.
No geral como resumo, podemos definir que a pós exploração consiste no 
mapeamento da rede interna e exploração dos alvos encontrados, como:
Identificação de hosts ativos no ambiente;
Serviços ativos e suas versões, visando a busca de vulnerabilidades 
conhecidas;
Exploração através de exploits públicos e/ou privados;
Comprometimento interno de ativos aos quais não são atingíveis pela 
rede externa.
Como base fundamental, vemos que não basta apenas quebrar a senha e 
acessar a rede, e sim o que pode ser feito e o quão um ambiente pode ser 
comprometido através de um acesso indevido.
28
06
Garantir a segurança em um ambiente Wireless 
é fundamental, pois o mesmo pode ser um vetor 
de entrada para um comprometimento total do 
ambiente empresarial. Neste ponto os pilares da 
segurança da informação devem ser mantidos, 
visando manter a disponibilidade, integridade 
e confidencialidade de todas as informações 
envolvidas. 
Para tal, existem profissionais de segurança da 
informação que atuam diariamente para garantir 
que estes pilares sejam sólidos. Dentre as inúmeras 
áreas de atuação da segurança temos o Pentester: 
o profissional que ataca.
Em um ambiente todos os setores de segurança são 
essenciais e tem a sua importância, mas falando 
sobre um agente mal intencionado, o Pentester 
pode ter vantagens sobre as outras áreas.
PENTEST
WIRELESS
EM REDES
29
6.1 O PENTESTER
Pentester é o chamado “Hacker Ético”, o qual possui habilidades avançadas em 
ambientes digitais que o possibilitam realizar ataques assim como um agente 
mal intencionado. 
Implementar diferentes métodos para garantir a segurança é essencial, e cabe 
a segurança defensiva tal tarefa. Porém após implementado é altamente 
aconselhado manter uma política de testes, e a melhor maneira de prover tais 
testes é simulando ataques reais como se realmente alguém mal intencionado 
desejasse burlar todos os mecanismos anteriormente implementados pelos 
setores de segurança!
30
07
Quando é mencionado o termo “Hacker”, a maioria 
das pessoas associa a algo ruim devido a repercussão 
que há na mídia sobre ataque mal intencionados. 
De fato, um agente mal intencionado também é um 
Hacker...
Mas quais são as reais diferenças? 
Um hacker ético é chamado de White Hat, onde 
atua sozinho ou através de uma empresa (como a 
Desec Security, empresa de segurança ofensiva), e 
seus ataques a algum ambiente são previamente 
estabelecidos em contato com o cliente e diante 
contrato. Além de contrato há também cláusulas 
de confidencialidade das informações, com isso o 
hacker ético é proibido legalmente (e moralmente) 
de disponibilizar qualquer informação encontrada 
durante os seus testes. As etapas de um Pentest 
(um ataque ético), são as seguintes:
CARREIRA EM
OFENSIVA
SEGURANÇA
31
A empresa solicita os serviços do Pentester, e é 
marcado uma reunião;
Nesta reunião é definido o objetivo do teste, e 
quais são as expectativas da empresa diante 
ele (por exemplo, a empresa pode querer validar 
se através da rede Wifi um atacante pode ter 
acesso a um dos servidores de funcionamento 
interno);
Após levantado as expectativas, é definido o 
escopo: Quais partes do ambiente podem ser 
atingidas com o ataque.
Em seguida o contrato é redigido com tais 
informações, contendo as obrigações do 
Pentester e suas limitações;
E por fim (juntamente com o contrato formal), 
há um “contrato” de confidencialidade, onde 
o profissional se compromete por vias legais 
de que toda informação coletada ficará em 
sigilo. Tal cláusula está sujeita a multa caso 
descumprimento por parte do profissional.
Já um Hacker não ético são os chamados Black 
Hat ou Crackers, cuja finalidade também é 
atacar sistemas, porém de forma ilegal e sem 
contato algum com os responsáveis do ambiente 
alvo. Tais explorações visam a coleta da maior 
quantidade de dados sigilosos possíveis do alvo 
a fim de vendê-los emmercados clandestinos. Tal 
mercado é alimentado diariamente com bilhões 
de dados provenientes de ações ilegais, onde os 
mesmos podem ter um impacto gigantesco sob 
a empresa alvo onde muitas vezes pode levá-la 
a falência, seja pelas fraudes possíveis ou pelo 
32
segredo de negócio revelado de seus processos 
internos diante a concorrência. As etapas desse 
processo basicamente se baseiam em atacar 
um alvo, e posteriormente direcionar a venda de 
informações de modo ilegal no mercado negro.
A questão de ataques ilegais sempre existiu e sempre 
existirá, mais ainda nos dias de hoje com diferentes 
processos críticos e essenciais conectados na rede e 
dependentes de recursos tecnológicos.
A Desec Security é uma empresa especialista em 
segurança ofensiva com diversos clientes e profissionais 
pentesters atuando diariamente para garantir uma 
maior segurança dos ambientes através da identificação 
de falhas. O fato de uma empresa utilizar a segurança 
ofensiva como aliada não a torna totalmente segura, 
porém diminui drasticamente os riscos de um Agente 
mal intencionado performa ataques e identificar algo 
crítico, visto que previamente um hacker ético conseguiu 
a tempo identificar o vetor de ataque, mitigando assim 
os riscos de um comprometimento futuro. Com isso o 
pentest é altamente indicado, porém o processo deve ser 
constante, pois o mercado negro não tira um dia de folga.
33
7.1 COMO POSSO ME TORNAR UM PENTESTER?
Pode parecer algo de filmes de ficção, onde o processo de ataque ocorre 
de forma espetacular e glamurosa, com diversas telas coloridas e linhas 
de comando subindo a todo o instante... Mas na vida real o processo é 
um pouco diferente. Dentre inúmeras habilidades requisitadas para iniciar 
a carreira em pentester, a curiosidade, dedicação e vontade de entender 
como uma tecnologia funciona são as principais!
A Desec Security além de atuar com segurança ofensiva prestando 
diversos serviços de Pentest para empresas de diferentes portes, privadas 
e governamentais, disponibiliza também treinamentos direcionados para 
a segurança ofensiva!
Como finalidade, temos o objetivo de explicar de forma detalhada e precisa 
como as coisas funcionam. Não basta apenas ver um tutorial de como a 
ferramenta X funciona e sair executando comandos, isso não irá lhe tornar 
um Hacker.
O que difere um profissional de um amador, é a essência em entender 
como o processo realmente funciona. Uma vez que realizado um ataque a 
um alvo apenas executando coisas sem saber o que elas realmente estão 
fazendo (e o por que), além de ser muito provável que não seja identificado 
falhas, o ambiente alvo pode sofrer uma drástica instabilidade e/ou até 
mesmo indisponibilidade, causando transtornos e até mesmo passe uma 
imagem negativa do “profissional”, visto seu pouco background técnico.
Visando superar todas as necessidades e limitações, possuímos 
treinamentos direcionados que irão lhe auxiliar em cada etapa, desde 
bases essenciais a técnicas avançadas, as quais poderão ser aplicadas em 
ambientes reais sabendo exatamente o por que e como tal ferramenta 
funciona. Além disso, focamos no “mindset hacker”, o modo de pensar! 
Com isso a criação de suas próprias ferramentas de análises é cobrada, e 
temos a certeza de que nossa metrologia lhe capacitará para tal.
34
Existem diferentes ramificações na atuação de segurança ofensiva, e o 
Pentest em Ambientes Wireless é apenas uma delas! 
Com isso, convidamos você para conhecer o treinamento de 
segurança ofensiva em redes Wireless! 
E lembre-se empreendedor ou colaborador: um White Hat e um Black Hat 
possuem os mesmos níveis de habilidades, é apenas uma questão de lado 
na atuação, alguns escolhem o caminho do bem e outros optam pelo 
crime, e por experiências de grandes profissionais que já passaram pelo 
lado negro, todos foram pegos ou pagaram um preço alto (porém não 
os impediu de causar grandes estragos em diferentes instituições antes 
disso).
Finalizando, o serviço de segurança ofensiva vem sendo muito solicitado 
nos últimos anos e a perspectiva de crescimento é gigantesca diante nosso 
cenário digital atual em constante expansão. Com certeza é uma carreira 
promissora para todos que gostam e pretendem seguir!
Venha fazer parte desse futuro conosco! 
Garantimos que a sua qualidade de ensino não 
deixará a desejar diante o mercado real.
Keep Learning,
Desec
contato@desecsecurity.com
www.desecsecurity.com
mailto:contato@desecsecurity.com
http://www.desecsecurity.com