Pentest cool

  • Published on
    24-May-2015

  • View
    1.386

  • Download
    2

Embed Size (px)

DESCRIPTION

Pentest - O que ? Pra que Serve ? Porque comprar ? Como Vender ? Como saber se foi bem Feito ?Tudo sobre Pentest.

Transcript

  • 1. PENETRATION TEST O que ? Pra que serve? Porque comprar ? Como vender? Como saber se foi bem Feito?Por: Adilson Santos da Rochaasrocha.consultoria@gmail.com

2. O QUE ?Simula uma srie de ataques e MTODOS usados por invasorespara ganhar acesso no autorizado a informaes, redes, dados,sistemas e aplicaes podendo compromet-los CONTROLADAPENTESTNDANDA AUTORIZADA 3. TIPOS DE PENTESTPENTEST EXTERNOConhecimento do Alvo FOCOBlack BoxGray Box Web ServersMail ServersWhite BoxAnunciado: A equipe de TI/Security informadaRoutersNo Anunciado: A equipe de TI No Informada 4. TIPOS DE PENTEST Realizado em Loco no ClientePENTEST INTERNOConhecimento do AlvoFOCOBlack BoxGray Box Controles e Servidores e DMZSeguimentaoWhite BoxAnunciado: A equipe de TI/Security informadaPrivacidade Comunicao internaNo Anunciado: A equipe de TI No Informada 5. TIPOS DE PENTESTProduz umaAMPLA e APURADAWEB APLICATION PENTESTavaliao sobreaplicaes WEBasegurana deConhecimento do AlvoFOCO Black BoxFoco na AplicaoGray Box Web Servers Parmetros/Inputs Seu EcosistemaWhite BoxAnunciado: A equipe de TI/Security Autenticao informada CriptografiaControleNo Anunciado: A equipe de No Sesses Do ClienteInformada 6. TIPOS DE PENTESTWIRELESS PENTESTConhecimento do AlvoFOCOBlack Box DispositivosCriptografiaGray BoxWhite BoxAnunciado: A equipe de TI/Security informadaAutenticao Usurios/DispositivosAlcanceNo Anunciado: A equipe de No Informada 7. METODOLOGIABASEADA EM PADRES INTERNACIONAISISSAF -Information Systems Security Assessment Framework OSSTMM 3 The Open Source Security Testing Methodology ManualNIST-SP 800-42 - Guideline on Network Security Testing OWASP - Open Web Application Security Project Testing Guide 8. METODOLOGIAPENTEST REDES INTERNO/EXTERNO/WIRELESS 1- Planejamento e PreparaoMapeandoObtendoaInformaes Rede212 Cobrindo IdentificandoE RastrosVulnerabilidadesX 93E PENTESTCMantendo METODOLOGIA ExplorandoAcesso VulnerabilidadesU84 Ganhando acessoOComprometendoAnalisandoAdjacncias EscalandoSistemasPrivilgios7 65 3 Gerao de Relatrio, Apresentao, finalizao 9. METODOLOGIAWEB APPLICATION TESTINGMapear o ContedoTestar mecanismos Testar Gerenciamento Testar Parmetros de (spidering)De autenticao De Sesses Entrada Testes ControlesTeste de Lgica AvaliaoDo ClienteGerao do relatrioDe NegcioDe RiscosAjax, activeX, FlashXss,xrfssql injectionBuffer Overflow Session Hijacking TesterUsurio 10. POR QUE ? FAZER UM PENTESTEncontre os buracos,antes que algum os encontre A melhor forma de se proteger saber onde se mais fraco.Sun Tzu 11. POR QUE ? FAZER UM PENTEST Validar seus controles de Segurana 12. POR QUE ? FAZER UM PENTESTTestar a Capacidade da equipe de TI perante a um ataque realou vazamento de dados. 13. POR QUE ? FAZER UM PENTESTA reabilitao normalmente Sai mais Caro que Investimentos em Mecanismos de Proteo 14. POR QUE ? FAZER UM PENTESTDanos a Imagem da Empresa so imensurveis 15. POR QUE ? FAZER UM PENTESTAjustes de recursos, estratgias e prioridades dos sistemas deinformao da Empresa.Decises sobre planos de Continuidade do Negcio e DisasterRecover baseados em Fatos Reais. 16. POR QUE ? FAZER UM PENTESTHomologao - Por em produo ambientes Seguro e com BaixoRisco Muitos testes de Softwares contemplam funcionalidades e estabilidades (nosegurana) Erros encontrados Nesta fase So mais baratos e evitam Problemas graves nofuturo. 17. POR QUE ? FAZER UM PENTESTROSI RETORNO SOBRE INVESTIMENTO EM SEGURURANADA INFORAO Concentra Investimento onde Realmente necessrio Base para Melhorar a eficincia da arquitetura existente Ajuda Melhorar Processos de Negcios 18. POR QUE ? FAZER UM PENTESTUm Elemento essencial para Gerenciamento de Risco Pode ser o Ponto de Partida Validao/Mtrica para Aceitao dos Riscos Ajuda Melhorar Processos de Negcios 19. POR QUE ? FAZER UM PENTESTREQUISITO PARA CERTIFICAO E COMPLIANCE 20. NDANon-Disclosure AgreementO que ser Testado Ranges/Aplicaes etcQuando: Janelas/Prazos EscopoTipos/Limites Engenharia SocialNDA Danos a AtivosLimitesAtivos de Terceiros(colocation)A quem/Plano deQue tipo InformaoComunicaoMeios de ComunicaoCriptografia/Senhas etcMantenha artefatos comerciais, contratos etc separados do NDA 21. RELATRIO O ENTREGVEL Objetivo/EscopoMetodologia Impcto/RiscoClassificao Complexidade Iniciao Resumo ExecutivoRelatrio Principais Vuln/ Vulnerabilidades Hosts Afetados VulnerabilidadesIgnoradasDetalhe de cada VulnClassificao;Poc;Recomendaes;Recomendaes Gerais/ Evidncias Especficas Finalizao Parecer com Crticas/Elogios Conforme o caso dividir o relatrio separando o resumo executivo doConcluso relatrio tcnico detalhado. 22. FERRAMENTAS/INFRAESTRUTURADepende do Tamanho da Equipe, Escopo, Tipos de Testes etc. Utilizar Links, redes, DC, etc Isolados de Rede corporativa No Utilizar os equipamentos onde Realizam-se os Testes como Desktop; ou outros fins. Ter Conta(s) em VPNs e proxys para anonimato. (http://vpnprivacy.com,UltraVPN,ItsHidden) vpns pagas so um bom investimento. Tor + Proxychains so seus amigos Equipes composta por pefis/especialidades diferentes (rede, Wireless,web, java,Desenvolvimento etc) Equipe Neutra (QA) Revisar e sugerir/criticar, melhorar relatrios, docs etc. Sempre antes de comear se atentar ao escopo e ao NDA.(Sempre contato com jurdico). Invista em Ferramentas, conhecimento, desenvolvimento. 23. FERRAMENTAS/INFRAESTRUTURA SuperScan v4.0SuperScan v4.0 24. ?http://www.facebook.com/adilson.rocha@asrochahttp://br.linkedin.com/in/asrochaasrocha.consultoria@gmail.com