Teste de Intrusão (Tutorial) 1

Teste de Intrusão (Tutorial)

Capitulo 1

É legal, que te paguem por romper cristais é melhor a que te paguem por regulá-los. Esta é uma piada (portuguesa) que fiz mil vezes porque realmente o sinto assim. Os testes de Intrusão ou teste de penetração (pentests) são divertidos, muito divertidos diria eu. Neste artigo queria falar-vos dos passos para levar a cabo um teste de penetração em uma empresa. Mesmo que a grandes rasgos os testes de penetração são todos similares é certo que cada um tem sua arte e seu ponto forte.

Auditoria de BlackBox:

Os testes de penetração não chegam em ser uma auditoria já que estas devem ser exaustivas em extensão e profundidade, isto é, devem avaliar todos os riscos, todos os “caminhos” e avaliar o nível de cada um deles. Um pentest é encontrar um caminho para resolver o sudoku. O certo é que quando se realiza um teste de intrusão no final sai quase tudo, incluído, o que é mais importante, as más práticas de configuração, implementação ou desenvolvimento, mas é preciso deixar clara a diferença entre uma auditoria e um teste de intrusão.

Quando se realiza uma auditoria de segurança estas serão diferentes se realizam desde dentro da rede com uma conta pouco privilegiada, desde Internet sem nenhuma credencial ou desde dentro com os privilégios do próprio administrador. Se devem realizar todas, não é que uma seja melhor que outra, todas se complementam e dão diferente informação. As que se realizam desde fora e sem nenhuma credencial se chamam auditorias de BlackBox, enquanto as que as que se realizam desde dentro se chamam auditorias de WhiteBox.

Poderíamos dizer que um teste de intrusão é uma auditoria de BlackBox e a diferença será se se buscam todos os caminhos ou só se procura justificar a necessidade de uma auditoria de segurança em profundidade. Sim, mesmo que pareça estranho em muitas companhias a dia de hoje ainda é preciso justificar a necessidade de uma auditoria de segurança. Porque… a quem lhe importa se amanhã no Site põem um graffiti ou se os dados do banco de dados foram mudados parcialmente durante os últimos três meses e não podemos recuperar nenhuma cópia de bases de dados porque não temos garantia que nenhuma seja confiável?

Começa a festa:

Em primeiro lugar você deve escolher o ponto de execução do teste, como já vimos antes, talvez queremos realizar uma auditoria simulando que somos um usuário externo ou talvez, pensemos que o inimigo é um cliente remoto ou possa ser um trabalhador interno. Quem sabe? Ou não? Escolhemos o ponto de execução e começa a campanha. Para isso começamos pela fases de “combate”.

Eleição de objectivos:

É preciso buscar onde pode haver uma porta para entrar dentro e fazer…¡já se verá! Ainda é em breve, não nos pomos objectivos, se vai conquistando pouco a pouco o inimigo. Para isso vamos analisar os activos da empresa expostos a nosso ponto de execução. Isto é, desde onde estamos que serviços e/ou servidores estão em nossa linha de tiro. Servidores site, servidores de conexões VPN, o servidor de correio, de arquivos, de dns, etc…. Inventariamos os activos a testar e começamos a segunda fase.

Recolha de Informação:

Que nos interessa? TUDO. Toda informação que se possa conseguir é útil, sinto dizer isto mas até a informação sobre as pessoas que operam e ou trabalham na empresa directa ou indirectamente com os sistemas é útil. Para isso realizamos duas batidas de recolhida de informação diferentes utilizando duas filosofias diferentes. Em primeiro lugar vamos apanhar toda a informação que seja pública da empresa e dos objectivos. É pública, por tanto a recolhemos e aprendamos tudo o que possamos deles. As ferramentas que utilizamos são ferramentas de Footprinting ou de seguimento ou rastros de pegadas.

Footprinting:

As ferramentas que vamos utilizar são simples públicas e “legais” isto é, ainda não necessitaríamos um documento de Exoneração de Responsabilidades que nos autorize a realizar o teste, com o que se quer testar você pode fazê-lo com quem você deseje só por praticar.

Para conhecer a informação da empresa começamos por consultar o servidor DNS para ver que servidores têm registados com que serviços. Normalmente vamos tirar as Direcções de IP dos servidores DNS, dos servidores Web, dos servidores de correio e … tudo o que se possa. Para fazer esta parte eu uso o próprio Nslookup que vem no sistema e com simples comandos podemos tirar toda esta informação.

Nslookup:

Quando entramos no interface de comandos de nslookup estamos realizando consultas directamente contra o servidor de DNS que temos configurado em nossa máquina, por tanto primeiro é averiguar qual é o servidor de dns de nosso objectivo e perguntar-lhe a ele. Para isso escolhemos o tipo de registo que queremos consultar com o comando set type. Para tirar os servidores dns: set type=ns; Para os hosts: set type=a; para os redireccionadores de correio: set type=mx, etc….

Uma vez eleito o tipo se realiza a petição de resolução com o domínio que se quer consultar e nos devolve as Direcções de IP dos servidores DNS primário e secundário. Por tanto quando saibamos quais são, configuramos a esses servidores como os receptores de nossas consultas com o comando: Server IP e uma vez que estejamos ali tiramos toda a informação pública que tenhamos. Se o DNS está logo que configurado nos permitirá duas coisas que nunca se devem permitir, a transferência de zonas e a lista de todos os registos. Para isso basta conectar-se ao servidor de dns e desde o nslookup e realizar um simples teste com o comando ls nome_de_domínio. Se cola, nos retornará toda a informação da zona na tela. E perguntando ao registo SOA da Zona DNS poderemos saber qual é o correio do responsável do dns e o mais provável webmaster.

Da informação que extraiamos daqui poderemos saber coisas como se os servidores estão em hosting, housing ou os tem a companhia, se têm serviços de apoio externos, se o administrador é cuidadoso e detalhista ou não. Pensem que o processo de ataque pode depender destes pequenos você detalhes. Imaginemos um serviço Web de uma empresa que está em hosting, se compramos um domino no mesmo fornecedor teremos acesso ao mesmo servidor de nosso objectivo quase mais de 100 perus ao ano e atacar a um companheiro de hosting oferece a possibilidade de um novo caminho digno de explorar.

Neste exemplo, com uma empresa escolhida ao acaso, o tugamania.com por exemplo, veremos o que ele nos mostra em suas propriedades, se pode fazer “ls” do domínio que permite ver a lista de todos os servidores, e o IP interno de um servidor muito, muito significativo, que se chama bd (Banco de Dados?) com um direccionamentos 192.168.1.1. Curioso.

1

Traçar e Posicionar:

Uma vez que se têm os objectivos iniciais marcados com direcções IPS o seguinte é situá-los na rede e geograficamente, pode dar-nos alguma informação curiosa. Ferramentas como tracert ou o Visualroute nos vão permitir averiguar qual é a localização física e quem são os seus provedores de acesso a Internet.

2

Baixar em http://visualroute.visualware.com

Nele visualizamos as redes que lhe conectam, neste caso podemos ver quem é seu fornecedor de serviços de Internet.

Whois:

Quando uma empresa regista um domínio na Internet deve encher uma série de dados no registador que devem estar em uma base de dados de informação que se chama Whois. A informação que se regista neste banco de dados pode proteger-se parcialmente configurando-se no registo, mas por defeito toda ela é pública. Cada registador oferece ferramentas de acesso ao banco de dados whois para que qualquer possa consultá-la.

3

Whois online em http://samspade.org/
Baixar em http://www.webmasterfree.com/samspade.html

Spiders (aranhas de Internet):

Usem a informação que os spiders já recolheram e aprende a tirar-lhe partido às bases de dados sobre as lugares que têm nossos amigos os buscadores. Existe um banco de dados que se chama Google Hacking Database (GHD) que tem catalogadas em diferentes categorias correntes de busca para usar-se no google para tirar informação para hacking de empresas através das bases de dados do buscador google. Há uma secção que me encanta se chama “Passwords” e a explicação que dão no próprio banco de dados sobre essa categoria é: “FOR THE LOVE OF GOD, GOOGLE FINDS PASSWORDS”. Aprende a fuçar (termo vosso) no google/msn search para seguirem os rastros da empresa e dos administradores, te surpreenderá o que pode fazer um administrador de uma empresa com seus correios corporativos.

4

Acessar em http://johnny.ihackstuff.com

Fim do primeiro Capitulo…

  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: