Desenvolvimento

29 nov, 2016

Conheça uma bateria de testes metodológicos com o Pentest

Publicidade

O Pentest é uma bateria de testes metodológicos com tentativas de penetrar um sistema ou rede a fim de mapear e expor todas falhas e vulnerabilidades. Mas antes de aprender sobre ele, vamos entender alguns conceitos importantes sobre segurança da informação.

Princípios de segurança da informação e proteção de dados

Em segurança da informação, nosso objetivo é definir o que é necessário para preservar os seguintes princípios:

  • Autenticidade: a informação está sendo enviada de fonte segura e legítima, e não foi interceptada;
  • Confidencialidade: somente pessoas que têm permissões corretas devem acessar a informação;
  • Disponibilidade: a informação deve sempre estar disponível;
  • Integridade: manter a informação íntegra e inalterada;
  • Legalidade: a informação deve estar de acordo com a legislação de um país.

Tipos de ameaças

  • Físicas: todo e qualquer processo de natureza física, como alagamentos, desabamentos, incêndios etc;
  • Lógicas: todo e qualquer processo de natureza lógica, como malwares, brute force em senhas, sniffers etc.

Para diminuir as ameaças, existem uma série de medidas de segurança que podem ser utilizadas, como localização geográfica favorável para ameaças físicas; criptografia de dados, firewall e conscientização dos funcionários para ameaças lógicas. Além destas medidas, também existem serviços relacionados à segurança para mitigar as ameaças.

Os principais são:

  • Análise forense: série de técnicas de coleta de dados, recuperação de informações, reconstrução de eventos temporais, prevenção de armadilhas, reconhecimento de artefatos maliciosos para rastreio do atacante etc;
  • Hardening: técnica usada para mapear ameaças e depois executar possíveis correções nos sistemas, preparando-os para determinadas tentativas de ataques ou violação de segurança;
  • Revisão do código-fonte: avaliação da arquitetura de segurança do software, procurando falhas na programação que geram vulnerabilidades e validação do nível de ofuscação contra engenharia-reversa;
  • Desenvolvimento de exploits: programas que exploram falhas, com intuito de testar a segurança de aplicações e softwares;
  • Análise e detecção de intruso: monitoramento da rede;
  • Análise de vulnerabilidades: auditoria para encontrar falhas na rede e nas aplicações;
  • Testes de Stress: sobrecarregar os servidores para determinar o quanto eles aguentam de sobrecarga;
  • E, finalmente, Pentest (testes de intrusão/testes de penetração).

O que é Pentest?

É uma bateria de testes metodológicos com tentativas de penetrar um sistema ou rede a fim de mapear e expor todas falhas e vulnerabilidades, empregando as mesmas técnicas que são utilizadas em um ataque real. A meta do Pentest não é conseguir acesso não autorizado a uma rede, servidor ou sistema, mas aplicar as devidas correções e configurações a partir das falhas e vulnerabilidades encontradas.

Tipos de Pentest

  • Black-box: conhecido como teste de caixa preta, neste tipo de teste não temos conhecimento do funcionamento da infraestrutura, servidores e processos que estão rodando.
  • White-box: teste de caixa branca, temos total conhecimento da infraestrutura, servidores e processos;
  • Gray-box: teste de caixa cinza, temos conhecimento parcial da infraestrutura, servidores e processos. O gray-box é subdividido em gray-box (o alvo saberá que será atacado e quais os testes serão realizados) e double gray-box (alvo não terá conhecimento do ataque e nem quais testes serão realizados).

Metodologias de Pentest

Há vários tipos de metodologias que podem ser aplicadas em um teste de intrusão.

  • PTES: define e levanta a conscientização sobre o que um Pentest real pode significar e estabelece uma base de princípios fundamentais requeridos para a condução dele;
  • OSSTMM: padrão internacional baseada em métodos científicos para auxiliar no processo de segurança, uma das mais completas e robustas;
  • ISSAF: busca resultados da auditoria da forma mais rápida possível, e é capaz de modelar os requisitos de controle internos para a segurança da informação;
  • OWASP: é direcionada para testes em servidores e aplicações WEB.

E por hoje é isso! Depois eu volto para falar um pouco mais sobre OWASP.

Ficou alguma dúvida? Aproveite os campos abaixo! Até a próxima.

***

Artigo publicado originalmente em: http://www.concretesolutions.com.br/2016/11/21/introducao-ao-pentest/