PENTEST

    O mundo está cada vez mais conectado e independente da classe social ou poder aquisitivo, a maior parte da população tem um smartphone ou um computador para acessar algum recurso informatizado.
    Os sistemas da Internet e os aplicativos são fontes inesgotáveis de recursos para os criminosos cibernéticos.    
    As facilidades encontradas pelos hackers para explorar as vulnerabilidades existentes levou a criação de uma nova profissão especializada de segurança tecnológica, que busca usar técnicas semelhantes para prevenir as invasões.
    Para legitimar as ações e criar uma linha de atuação ética e correta, foram criados padrões e regras para regularizar as atividades e proteger ambas as partes.
    O termo PENTEST em inglês é um acrônimo para PENetration TEST e a melhor tradução seria Teste de Intrusão ou Invasão.
    O nome é simples, mas envolve uma série de procedimentos definidos pelo PTES - Penetration Testing Execution Standard (Padrão de execução para testes de intrusão), conforme documentação em The Penetration Testing Execution Standard (pentest-standard.org)

    Muitos confundem a execução de uma varredura de vulnerabilidades com um Pentest, mas essa é apenas uma das várias atividades envolvidas no processo.
    O Pentest utiliza as mesmas técnicas dos invasores buscando o mesmo objetivo básico, mas ao término deve disponibilizar relatórios com os problemas encontrados e sugestões para a correção e melhoria da segurança em todos os níveis.
    Sim, o teste não é executado apenas em aplicações, mas visa as instalações físicas, proprietários, empregados e familiares, equipamentos, rede lógica e física, sistemas e provedores.
    Os testes podem ser realizados sem o conhecimento dos demais empregados da empresa ou apenas de um corpo gerencial restrito, podem usar informações comuns conhecidas pelos empregados ou totalmente as cegas, mas tudo isso impacta no tempo de execução e consequentemente, no custo da operação.

    A OWASP é uma organização sem fins lucrativos que trabalha continuamente na pesquisa para melhoria da segurança na tecnologia.
    Sua lista com as 10 maiores vulnerabilidades é reconhecida como uma das melhores fontes de pesquisa e suas versões anteriores levam a triste constatação que vários problemas seguem sem solução por anos e anos.
    Só para exemplificar, o primeiro item da lista segue sendo a injeção de código em sistemas, agora ampliando o leque de banco de dados SQL para o S.O. e LDAP.

    O SQL Injection é amplamente documentado, as formas de evitá-lo também, mas a primeira posição na lista da OWASP escancara que é uma falha que deveria ser tratada em sua origem.

    A usabilidade trouxe mensagens amigáveis para o usuário, mas essas também levam dicas para os invasores.
    Por exemplo, muitas páginas indicam que você digitou o nome da conta errada e quando correta, se errou a senha.
    Muitos sistemas usam dados públicos ou fáceis de serem encontrados para a criação da conta, sendo comuns o endereço de e-mail e o CPF.
    Os usuários abusam das senhas fáceis, usando nomes de familiares ou animais de estimação, lugares, esportes ou outras informações facilmente encontradas nas redes sociais.
    A programação do sistema não implementar bloqueios básicos, como número limitado de tentativas de digitação da senha, regras de formação da senha e a criptografia na comunicação, usando um protocolo mais seguro como o HTTPS.
    Esse conjunto forma as condições que levam a quebra de autenticação ao segundo lugar da lista.

    Ultimamente são comuns noticias de ataques Ransomware, como o nome diz, é um malware que usa a prática do sequestro de dados para a solicitação de um valor para resgate das informações.
    A metodologia desse ataque indica um grande descaso com a segurança da informação, pois normalmente são necessários vários dias para conseguir acesso aos sistemas e bases de dados, além de um tempo para criptografar esses dados até bloquear o acesso as informações e deixar o "bilhete" de resgate.
    Expõe também a falta de um sistema de backup confiável.

    Mas a engenharia social é a forma amplamente difundida para ataques massivos, os "click bait" ou mensagens "iscas" com links para promoções, avisos de cobrança ou outros conteúdos que possam chamar a atenção são enviadas por todos os meios, SMS e mensagens em aplicativos de comunicação como Whatsapp, Facebook e outros, se juntando aos e-mails.
    A clonagem de celulares foi dificultada com a adoção dos chips simcard, mas nem por isso, se tornaram impossíveis e normalmente com o auxilio do usuário, a clonagem é realizada e se torna outra arma para ataques.

    Ataques usando a rede física cabeada ou sem fio são menos comuns, mas a falta de atenção de várias empresas é uma tentação que torna difícil para os meliantes resistirem.
    Já vi vários estabelecimentos que deixam pontos de rede e até cabos expostos e com fácil acesso para os clientes ou passantes.

    As VPN se tornaram comuns nessa época de isolamento social e trabalho remoto, mas a preocupação com a segurança nem sempre acompanha os esforços para disponibilizar o acesso aos empregados.
    Apesar do túnel criptografado prometer esconder os dados trafegados, uma configuração fraca no processo de autenticação ou concessão do acesso, compromete todo o ambiente.
    Além disso, o uso de máquinas pessoais ou compartilhamento da usualmente cedida pela empresa para outras atividades, podem instalar inadvertidamente outros tipos de malware, como trojan ou cavalos de tróia, backdoor e programas que capturam a digitação, sons e imagens.

    As reuniões virtuais com ferramentas como Microsoft Teams, Google Meet e outras, apesar das facilidades e encurtamento de distâncias, mostram que a seleção do conteúdo e recursos disponibilizados, além da falta de seleção adequada da audiência tornam os vazamentos de informações privilegiadas mais comuns do que se imaginava.

    Foram vários exemplos, mas a simples menção das variantes de malware mais conhecidas poderia levar várias e várias páginas de texto ou horas de vídeos.

    No começo, mencionei as varreduras de vulnerabilidade, essas são normalmente realizadas por ferramentas com parâmetros customizáveis, como o OPENVAS 
    Outra ferramenta muito útil e considerada a mais usada mundialmente é o ZAP  - Zed Attack Proxy da OWASP.

    Para auxiliar nos estudos e treinamentos, há alguns ambientes virtuais preparados para um roteiro de testes, como o Metasploit.

    As falhas documentadas também podem ser exploradas por ferramentas específicas, ou mesmo, usando conhecimentos de rede, programação e sistemas um pouco mais avançados.
    O sistema operacional Linux é o mais usado nessas tarefas. contando inclusive com uma distribuição denominada Kali Linux, que já vem com várias ferramentas prontas para uso.

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Dois computadores em um

 Não, não é um hyper-visor como o VMware, VirtualBox, Xen ou Hyper-V! Gosto muito dessa tecnologia e já usei bastante, mas ao criar as máquinas virtuais em um computador normal, a sobrecarga é bem grande e os recursos acabam ficando escassos, penalizando a performance final do sistema. A ideia de usar vários periféricos em um mesmo computador traz imediatamente o uso de mais de uma saída de vídeo. Lógico que é possível conectar mais de um mouse e teclado, mas o resultado não é o esperado, pois compartilhar a mesma área de trabalho ou mais mesmo que em vídeos diferentes, não funciona pois o Windows considera a janela em foco como ativa, inviabilizando o uso simultâneo de outra. Descobri hoje o Aster Pro  Ibik Aster Pro - O software multiterminal mais barato do Brasil  que promete uma solução mais prática e menos trabalhosa para resolver esse problema. O programa permite o uso gratuito por 30 dias para testar todas as funcionalidades e não é que é fácil, simples e funciona realmente! A i
Leia mais

Escolhendo outro monitor de vídeo

Imagem
      O Asus VG32VQ1B de 31,5" e resolução QHD (Quad HD) veio com um defeito que descobri logo no começo, mas não me incomodava muito, porque só acontecia ao ativar o HDR.     Esse recurso em monitores de vídeo é praticamente inútil, pois a baixa taxa de luminosidade e contraste impedem uma visualização impactante, como normalmente é numa TV.     Abri a solicitação de garantia na página da Asus e logo recebi a notificação do RMA e autorização para remessa.     Alguns dias depois, pra minha surpresa, recebi um e-mail informando que não tem como arrumar o defeito e me oferecendo a devolução do valor da Nota Fiscal com um pequeno reajuste.     Ainda não recebi o PIX, mas a partir dai iniciei as pesquisas para adquirir um substituto.     Tenho o Dell Alienware AW2518HF com 24,5", painel TN e taxa de 240 Hz.     Já é um modelo antigo, mas me atende muito bem e a única falta que vejo atualmente é o FreeSync não ser compatível com os videogames da nova geração, mas isso não faz dife
Leia mais

Silver Stone Fara R1 Pro - primeiras impressões do gabinete branco com leds ARGB

Imagem
    Gostei da simplicidade e tamanho dos gabinetes Silver Stone Fara H1M, que são mais compactos e ideais para uma placa-mãe micro-ATX.     Infelizmente, a placa de vídeo Gigabyte RTX 3080 Vision não coube devido aos seus 32 cm de profundidade.     Talvez até entrasse, removendo os ventiladores frontais e instalando na parte externa do gabinete, mas como os filtros de poeira são magnéticos e junto aos ventiladores, achei melhor não mexer.     Encomendei então o modelo Fara R1 Pro, que vem com 4 ventiladores ARGB instalados e uma controladora adequada.      A percepção é algo muito tênue, nas fotos do anúncio na Internet não percebi que os ventiladores do gabinete são pretos, além de não mostrar os cabos que também são pretos inclusive os conectores que vão na placa-mãe.     Isso me frustrou bastante, pois ao conectar os cabos da fonte e do gabinete na placa-mãe, a mistura não agradou e senti que seria melhor tudo preto.     Na foto abaixo, dá pra ver que o conector do led de power esta
Leia mais