Concrete Logo
Hamburger button

Introdução ao Pentest

  • Blog
  • 21 de Novembro de 2016
Share

O Pentest é uma bateria de testes metodológicos com tentativas de penetrar um sistema ou rede a fim de mapear e expor todas falhas e vulnerabilidades. Mas antes de aprender sobre ele vamos entender alguns conceitos importantes sobre segurança da informação.

Princípios de segurança da informação e proteção de dados

 

Em segurança da informação nosso objetivo é definir o que é necessário para preservar os seguintes princípios:

– Autenticidade: a informação está sendo enviada de fonte segura e legítima, e não foi interceptada;

– Confidencialidade: somente pessoas que têm permissões corretas devem acessar a informação;

– Disponibilidade: a informação deve sempre estar disponível;

– Integridade: manter a informação íntegra e inalterada;

– Legalidade: a informação deve estar de acordo com a legislação de um país.

Tipos de ameaças

 

– Físicas: todo e qualquer processo de natureza física, como alagamentos, desabamentos, incêndios, etc;

– Lógicas: todo e qualquer processo de natureza lógica, como malwares, brute force em senhas, sniffers, etc.

Para diminuir as ameaças, existem uma série de medidas de segurança que podem ser utilizadas, como localização geográfica favorável para ameaças físicas; e criptografia de dados, firewall e conscientização dos funcionários para ameaças lógicas. Além destas medidas, também existem serviços relacionados à segurança para mitigar as ameaças. Os principais são:

– Análise forense: série de técnicas de coleta de dados, recuperação de informações, reconstrução de eventos temporais, prevenção de armadilhas, reconhecimento de artefatos maliciosos para rastreio do atacante, etc.;

– Hardening: técnica usada para mapear ameaças e depois executar possíveis correções nos sistemas, preparando-os para determinadas tentativas de ataques ou violação de segurança;

– Revisão do código-fonte: avaliação da arquitetura de segurança do software, procurando falhas na programação que geram vulnerabilidades e validação do nível de ofuscação contra engenharia-reversa;

– Desenvolvimento de exploits: programas que exploram falhas, com intuito de testar a segurança de aplicações e softwares;

– Análise e detecção de intruso: monitoramento da rede;

– Análise de vulnerabilidades: auditoria para encontrar falhas na rede e nas aplicações;

– Testes de Stress: sobrecarregar os servidores para determinar o quanto eles aguentam de sobrecarga;

– E, finalmente, Pentest (testes de intrusão/testes de penetração).

O que é Pentest?

 

É uma bateria de testes metodológicos com tentativas de penetrar um sistema ou rede a fim de mapear e expor todas falhas e vulnerabilidades, empregando as mesmas técnicas que são utilizadas em um ataque real. A meta do Pentest não é conseguir acesso não autorizado a uma rede, servidor ou sistema, mas aplicar as devidas correções e configurações a partir das falhas e vulnerabilidades encontradas.

Tipos de Pentest

 

– Black-box: conhecido como teste de caixa preta, neste tipo de teste não temos conhecimento do funcionamento da infraestrutura, servidores e processos que estão rodando.

– White-box: teste de caixa branca, temos total conhecimento da infraestrutura, servidores e processos;

– Gray-box: teste de caixa cinza, temos conhecimento parcial da infraestrutura, servidores e processos. O gray-box é subdividido em gray-box (o alvo saberá que será atacado e quais os testes serão realizados) e double gray-box (alvo não terá conhecimento do ataque e nem quais testes serão realizados).

Metodologias de Pentest

 

Há vários tipos de metodologias que podem ser aplicadas em um teste de intrusão.

– PTES: define e levanta a conscientização sobre o que um pentest real pode significar e estabelece uma base de princípios fundamentais requeridos para a condução dele;

– OSSTMM: padrão internacional baseada em métodos científicos para auxiliar no processo de segurança, uma das mais completas e robustas;

– ISSAF: busca resultados da auditoria da forma mais rápida possível, e é capaz de modelar os requisitos de controle internos para a segurança da informação;

– OWASP: é direcionada para testes em servidores e aplicações WEB.

E por hoje é isso! Na semana que vem eu volto para falar um pouco mais sobre OWASP. Ficou alguma dúvida? Aproveite os campos abaixo! Até a próxima.

É desenvolvedor web e quer trabalhar em um time ágil de verdade, apaixonado pelo que faz? Clique aqui.