Pentest: o que é?

Enquanto a Internet se torna mais acessível e adquire novos usuários, preocupações de segurança no Pentest surgem a cada dia. A maioria dos usuários instala aplicativos móveis em seus smartphones sem saber quais dados estão sendo enviados para o aplicativo e seu fabricante, mesmo que o aplicativo peça permissão.

Embora o aplicativo não esteja envolvido em transações comerciais, geralmente captura dados privados dos usuários.

Uma pesquisa Lookout para Android (o mais popular do Brasil) mostrou que de 30.000 aplicativos, 38% conseguiam determinar a localização e 15% conseguiam coletar números de telefone. Esse acesso a dados confidenciais de usuários exige que as empresas testem a segurança de seus aplicativos e cortem atalhos para evitar complicações legais e insatisfação do usuário. Pentest é uma das formas de avaliar a segurança de um sistema ou aplicação.

Objetivo de um pentest

O objetivo de um ataque deliberadamente simulado (também conhecido como hacking ético) a pedido da empresa é identificar quaisquer pontos fracos na infraestrutura de defesa do sistema.

Imagine que um banco queira testar a segurança de sua infraestrutura interna.

Então ele decidiu contratar uma equipe que tentou invadir o prédio como um bandido.

Se os “bandidos” tiverem sucesso e invadirem o banco ou o cofre, o banco terá informações valiosas sobre como eles precisam reforçar suas medidas de segurança.

Agora é só transmitir o ataque que você imaginou no parágrafo anterior para o mundo digital e pronto!

Qual o perfil de um pentester?

De um modo geral, um testador de penetração é um desenvolvedor com amplo conhecimento em sistemas de rede e segurança com uma certificação de teste de penetração reconhecida.

Além disso, os desenvolvedores contratados como testadores de penetração geralmente têm pouco ou nenhum entendimento de como os sistemas em questão são protegidos, evitando vieses no processo.

Há também casos de autodidatas e ex-criminosos que decidiram usar seus conhecimentos para ajudar a corrigir falhas de segurança ao invés de explorá-las.

Aplicativos de teste de penetração

De acordo com a página “Software Livre Brasil”, existem 21 aplicativos viáveis ​​de teste de intrusão:

Análise da rede;
Análise de portas;
Identificação de sistemas;
Provas de debilidades em sistemas sem fios (dependendo segundo o caso);
Verificação de serviços (site, correio, servidor de nomes, documentos visíveis, vírus e trojans);
Determinação de vulnerabilidades;
Identificação de exploits;
Verificação manual de vulnerabilidades;
Verificação de aplicações;
Verificação de firewall e ACLs;
Revisão das políticas de segurança;
Revisão de sistemas de detecção de intrusos;
Revisão de sistemas de telefonia (dependendo segundo o caso)
Obtenção de informação (serviços de notícias, notas de imprensa, informações facilitadas pela própria empresa), ofertas de trabalho, newsgroups, xracks,[necessário esclarecer] números de série e “underground”, FTP, site, P2P;
Engenharia social;
Verificação de sistemas “confiáveis”;
Análise de robustez de senhas;
Negação de serviço;
Revisão da política de privacidade;
Análise de cookies e bugs no site;
Revisão de arquivos de anotações cronológicas (logs).
Sistemas Operacionais focados em Pentest
Existem várias distribuições de sistemas operacionais que são voltadas para testes de intrusão.

Elas, normalmente, contam com um conjunto de ferramentas pré-empacotadas e pré-configuradas para rodar o serviço.

Confira algumas delas:

BlackArch baseada no Arch Linux;
BackBox baseada no Ubuntu;
Kali Linux baseada no Debian;
Pentoo baseada no Gentoo;
WHAX baseada no Slackware.

Principais tipos de pentest

Os testes geralmente são feitos em serviços de rede, na própria infraestrutura do contratante, como avaliação de configurações de firewall; em aplicativos de rede; em computadores de funcionários; em redes sem fio e outros pontos de conexão.

Os principais tipos de testes de penetração são:

Caixa branca

O desenvolvedor recebe algumas informações (mínimas) antecipadamente sobre as informações de segurança da empresa alvo, que é o modelo padrão de teste de penetração.

Caixa preta

Também conhecido como teste cego. Neste modelo, nenhuma informação é enviada pelo contratante, tudo é feito “on-the-fly”.

Duplo cego

Também é chamado de teste duplo-cego.

Nesse caso, quase ninguém na empresa sabia que o teste estava acontecendo, nem mesmo os profissionais de TI. A resposta para o ataque é a segurança.

Dependendo da necessidade do cliente, os testes também podem ser realizados dentro ou fora do prédio da empresa.

Estágios de um Pentest

Planejamento

Este é o momento de definir os alvos de intrusão e criar um plano para cada etapa do processo.

Nesta fase, também é assinado um contrato com todos os termos e condições legais para proteger ambas as partes.

Escaneamento

Ferramentas de varredura são usadas para encontrar vulnerabilidades. Isso geralmente é feito usando:

Análise estática

Você examina o código do seu aplicativo para estimar seu comportamento durante a execução.

Análise dinâmica

Inspecione o código de um aplicativo em execução em tempo real.

Direito de usar

Depois que a vulnerabilidade for descoberta, é hora de se infiltrar no sistema.

Essa fase se concentra em ataques a aplicativos da Web, como scripts, injeções de SQL e backdoors, para descobrir as vulnerabilidades do alvo.

Os Pensters também tentaram explorar essas vulnerabilidades.

Geralmente eles fazem isso alterando permissões, roubando dados, interceptando tráfego.

Ou até mesmo usar a engenharia social para lidar com informações confidenciais e dados obtidos por meio de roubo ou manipulação psicológica de funcionários do cliente.

Análise e configuração do WAF (Web Application Firewall)

Essas informações podem ser usadas para implementar atualizações de segurança para fechar quaisquer vulnerabilidades descobertas durante o teste.

Você gosta deste tema?

Deixe um comentário e diga o que você pensa sobre este tema!

Se você achou que seria divertido fazer a segunda parte com um profissional especializado em testes de penetração, conte sobre as ferramentas que ele usa e o que um testador de penetração faz no dia a dia.

Um grande abraço!