O documento discute testes de penetração (pentest) e fornece as seguintes informações essenciais: 1) Explica o que é um pentest, que simula ataques para testar a segurança de sistemas. 2) Descreve os principais tipos de pentest: externo, interno, de aplicações web e wireless. 3) Detalha a metodologia de pentest, baseada em padrões internacionais.

1. PENETRATION
TEST
O que é? Pra que serve? Porque comprar ?
Como vender? Como saber se foi bem Feito?
Por: Adilson Santos da Rocha
asrocha.consultoria@gmail.com

2. O QUE É ?
Simula uma série de ataques e MÉTODOS usados por “invasores”
para ganhar acesso não autorizado a informações, redes, dados,
sistemas e aplicações podendo comprometê-los
CONTROLADA
PENTEST NDA
NDA
AUTORIZADA

3. TIPOS DE PENTEST
PENTEST EXTERNO
Conhecimento do Alvo FOCO
Black Box
Gray Box
Web Servers Mail Servers
White Box
Anunciado: A equipe de TI/Security é
informada Routers
Não Anunciado: A equipe de TI Não é
Informada

4. TIPOS DE PENTEST
“Realizado em Loco no Cliente”
PENTEST INTERNO
Conhecimento do Alvo FOCO
Black Box
Gray Box Controles e
Servidores e DMZ Seguimentação
White Box
Anunciado: A equipe de TI/Security é
informada Privacidade Comunicação interna
Não Anunciado: A equipe de TI Não é
Informada

5. TIPOS DE PENTEST
Produz uma AMPLA e APURADA
WEB APLICATION PENTEST avaliação sobre
aplicações WEB
a segurança de
Conhecimento do Alvo FOCO
Black Box
Foco na Aplicação
Gray Box Web Servers
Parâmetros/Inputs
Seu Ecosistema
White Box
Anunciado: A equipe de TI/Security é Autenticação
informada Criptografia Controle
Não Anunciado: A equipe de Não é Sessões Do Cliente
Informada

6. TIPOS DE PENTEST
WIRELESS PENTEST
Conhecimento do Alvo FOCO
Black Box
Dispositivos Criptografia
Gray Box
White Box
Anunciado: A equipe de TI/Security é
informada Autenticação
Usuários/Dispositivos Alcance
Não Anunciado: A equipe de Não é
Informada

7. METODOLOGIA
BASEADA EM PADRÕES INTERNACIONAIS
ISSAF -Information Systems Security Assessment Framework
OSSTMM 3 – The Open Source Security Testing Methodology Manual
NIST-SP 800-42 - Guideline on Network Security Testing
OWASP - Open Web Application Security Project Testing Guide

8. METODOLOGIA
PENTEST REDES – INTERNO/EXTERNO/WIRELESS
1- Planejamento e Preparação
Mapeando
Obtendo a
Informações Rede
2 1 2
Cobrindo Identificando
E Rastros Vulnerabilidades
X 9 3
E
PENTEST
C Mantendo
METODOLOGIA Explorando
Acesso Vulnerabilidades
U
8 4
Ç
Ã
Ganhando acesso
O Comprometendo
Analisando
Adjacências Escalando
Sistemas
Privilégios
7 6 5
3 – Geração de Relatório, Apresentação, finalização

9. METODOLOGIA
WEB APPLICATION TESTING
Mapear o Conteúdo Testar mecanismos Testar Gerenciamento Testar Parâmetros de
(spidering) De autenticação De Sessões Entrada
Testes Controles
Teste de Lógica Avaliação
Do Cliente Geração do relatório
De Negócio De Riscos
Ajax, activeX, Flash
Xss,xrfs
sql injection
Buffer Overflow
Session Hijacking
Tester
Usuário

10. POR QUE ? FAZER UM PENTEST
Encontre os buracos,
antes que alguém os encontre
A melhor forma de se proteger é saber onde se é mais fraco.
Sun Tzu

11. POR QUE ? FAZER UM PENTEST
Validar seus controles de Segurança

12. POR QUE ? FAZER UM PENTEST
Testar a Capacidade da equipe de TI perante a um ataque real
ou vazamento de dados.

13. POR QUE ? FAZER UM PENTEST
A reabilitação normalmente Sai mais Caro que Investimentos em Mecanismos
de Proteção

14. POR QUE ? FAZER UM PENTEST
Danos a Imagem da Empresa são imensuráveis

15. POR QUE ? FAZER UM PENTEST
Ajustes de recursos, estratégias e prioridades dos sistemas de
informação da Empresa.
Decisões sobre planos de Continuidade do Negócio e Disaster
Recover baseados em Fatos Reais.

16. POR QUE ? FAZER UM PENTEST
Homologação - Por em produção ambientes Seguro e com Baixo
Risco
✔ Muitos testes de Softwares contemplam funcionalidades e estabilidades (não
segurança)
✔ Erros encontrados Nesta fase São mais baratos e evitam Problemas graves no
futuro.

17. POR QUE ? FAZER UM PENTEST
ROSI – RETORNO SOBRE INVESTIMENTO EM SEGURURANÇA
DA INFORAÇÃO
✔ Concentra Investimento onde Realmente é necessário
✔ Base para Melhorar a eficiência da arquitetura existente
✔ Ajuda Melhorar Processos de Negócios

18. POR QUE ? FAZER UM PENTEST
Um Elemento essencial para Gerenciamento de Risco
✔ Pode ser o Ponto de Partida
✔ Validação/Métrica para Aceitação dos Riscos
✔ Ajuda Melhorar Processos de Negócios

19. POR QUE ? FAZER UM PENTEST
REQUISITO PARA CERTIFICAÇÃO E COMPLIANCE

20. NDA–Non-Disclosure Agreement
O que será Testado
Ranges/Aplicações etc
Quando: Janelas/Prazos
Escopo
Tipos/Limites
Engenharia Social
NDA Danos a Ativos
Limites
Ativos de Terceiros
(colocation)
A quem/
Plano de Que tipo Informação
Comunicação
Meios de Comunicação
Criptografia/Senhas etc
Mantenha artefatos comerciais, contratos etc separados do NDA

21. RELATÓRIO – O ENTREGÁVEL
Objetivo/Escopo
Metodologia
Impácto/
Risco
Classificação
Complexidade
Iniciação
Resumo Executivo
Relatório Principais Vuln/
Vulnerabilidades Hosts Afetados
Vulnerabilidades
Ignoradas
Detalhe de cada Vuln
Classificação;Poc;Recomendações;
Recomendações Gerais/
Evidências
Específicas
Finalização
Parecer com Críticas/Elogios
Conforme o caso dividir o relatório
separando o resumo executivo do
Conclusão relatório técnico detalhado.

22. FERRAMENTAS/INFRAESTRUTURA
Depende do Tamanho da Equipe, Escopo, Tipos de Testes etc.
✔ Utilizar Links, redes, DC, etc – Isolados de Rede corporativa
✔ Não Utilizar os equipamentos onde Realizam-se os Testes como Desktop;
ou outros fins.
✔ Ter Conta(s) em VPNs e proxys para anonimato.
(http://vpnprivacy.com,UltraVPN,ItsHidden) vpns pagas são um bom investimento.
✔ Tor + Proxychains são seus amigos
✔ Equipes composta por pefis/especialidades diferentes (rede, Wireless,web, java,
Desenvolvimento etc)
✔ Equipe Neutra (QA) Revisar e sugerir/criticar, melhorar relatórios, docs etc.
✔ Sempre antes de começar se atentar ao escopo e ao NDA.
(Sempre contato com jurídico).
✔ Invista em Ferramentas, conhecimento, desenvolvimento.

23. FERRAMENTAS/INFRAESTRUTURA
SuperScan v4.0
SuperScan v4.0

24. ?
http://www.facebook.com/adilson.rocha
@asrocha
http://br.linkedin.com/in/asrocha
asrocha.consultoria@gmail.com