UNIGAP Faculdade de Tecnologia GAP

Pentest Igor Sobreira Marchetti

Anpolis
Julho/2011

UNIGAP Faculdade de Tecnologia GAP Curso: Especializao em Administrao em Redes de Computadores e Segurana da Informao

Pentest Igor Sobreira Marchetti

Trabalho de Concluso de Curso apresentado a Coordenao do Curso de Especializao em Administrao em Redes de Computadores e Segurana da Informao da UNIGAP - Faculdade Catlica de Anpolis, como requisito para obteno do grau de especialista em Administrao em Redes de Computadores e Segurana da Informao.

Anpolis Julho/2011

UNIGAP Faculdade de Tecnologia GAP

Folha de Avaliao

Autor: Titulo: Data de Avaliao: rea de Pesquisa: Banca Examinadora ____________________________________ Orientador ___________________________________ Representante do Curso ____________________________________ Coordenao de Produo Cientifica

Nota final: ____________

Anpolis Julho/2011

Igor Sobreira Marchetti Acadmico de Redes de Computadores e Segurana da Informao GAP Grupo de Administrao Profissional i.marchetti@hotmail.com

Resumo Um teste de penetrao um mtodo de avaliar a segurana de um sistema de computao ou de uma rede, simulando um ataque real de um hacker A cada dia empresas ainda no perceberam a importncia de testar sua segurana simulando um ataque real. Est sendo a realidade do mercado de pentest no Brasil. Os conceitos e as funcionalidades apresentadas neste artigo,demonstra qual a importncia de realizar um pentest em sua empresa, quais as formas reais que os atacantes utilizam para fazer levantamento das informaes e quais os pontos mais fracos de uma rede, quais os mtodos mais comuns de coleta de dados quais os softwares que so utilizados, com o objetivo de auxiliar e otimizar o trabalho do profissional pentest que ira fazer a anlise. Palavras-chaves: Pentest, Vulnerabilidade, Cracker, hackers.

1.

Introduo Pentest, uma das formas mais utilizadas para fazer um levantamento de

informao de uma rede, verificando suas vulnerabilidades e as possibilidades de ver como estas fragilidades podem ser exploradas ou corrigidas. A realizao de um pentest normalmente e realizada por um profissional que j tenha conhecimento da rea de segurana, da mesma forma que um cracker ou um hacker faria e em seguida so entregues os resultados indicando todas as falhas encontradas e como corrigi-las. Suas analises so feitas atravs de redes, comunicao de dados, aplicaes criticas e bases de dados. Utilizando tcnicas simples, a rede poder se fortalecer mais, assim evitando um ataque do mais fraco ate o mais forte. 1

2.

Realidade de Ataque Estudos feitos pela CERT.BR, mostram quais foram os tipos de ataques

realizados de Janeiro a Maro de 2011. 2.1. 2011 Incidentes Reportados ao CERT.br -- Janeiro a Maro de

Figura 1 - Tipos de Ataque

Legenda:

worm: notificaes de atividades maliciosas relacionadas com o

processo automatizado de propagao de cdigos maliciosos na rede.

dos (DoS -- Denial of Service): notificaes de ataques de negao de

servio, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operao um servio, computador ou rede.

invaso: um ataque bem sucedido que resulte no acesso no

autorizado a um computador ou rede.

web: um caso particular de ataque visando especificamente o

comprometimento de servidores Web ou desfiguraes de pginas na Internet.

scan: notificaes de varreduras em redes de computadores, com o

intuito de identificar quais computadores esto ativos e quais servios esto sendo disponibilizados por eles. amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possveis vulnerabilidades aos servios habilitados em um computador. 2

fraude: segundo Houaiss, "qualquer ato ardiloso, enganoso, de m-

f, com intuito de lesar ou ludibriar outrem, ou de no cumprir determinado dever; logro". Esta categoria engloba as notificaes de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.

outros: notificaes de incidentes que no se enquadram nas

categorias anteriores. Obs.: Vale lembrar que no se deve confundir scan com scam. Scams (com "m") so quaisquer esquemas para enganar um usurio, geralmente, com finalidade de obter vantagens financeiras. Ataques deste tipo so enquadrados na categoria fraude. 2.2. 2011 Incidentes Reportados ao CERT.br -- Janeiro a Maro de

Figura 2 - Tentativas de Fraudes

Legenda:

Cavalos de Tria: Tentativas de fraude com objetivos financeiros

envolvendo o uso de cavalos de tria.

Pginas Falsas: Tentativas de fraude com objetivos financeiros

envolvendo o uso de pginas falsas.

Direitos Autorais: Notificaes de eventuais violaes de direitos

autorais. 3

Outras: Outras tentativas de fraude.

3.

Requisitos para segurana da informao fundamentais O conceito de segurana da informao deve ser adotado desde que e

colocado o primeiro computador na rede, para que possa ser evitado qualquer tipo de dor de cabea. Existe trs propriedades fundamentais na segurana da informao que so: Confidencialidade: Garantir que as informaes sejam visualizadas apenas por pessoal autorizado. Integridade: Garantir que as informaes sejam modificadas e/ou alteradas apenas por pessoal autorizado. Disponibilidade: Garantir que as informaes sempre estejam

disponveis ao pessoal autorizado, quando necessrio. Seguindo esse conceito de segurana da informao, uma porcentagem grande da rede ser bem protegida, mas no quer dizer que est 100% segura. As ameaas so aceitas se umas dessas trs propriedades forem quebradas, assim a fragilidade da rede ser bem maior que esperado. Segundo Tanembaum A maior parte dos problemas de segurana causada intencionalmente por pessoas maliciosas que tentam obter algum beneficio chamar ateno ou prejudicar algum. (2003, pg: 767)

4.

Qual o objetivo do atacante? Na maioria das vezes o atacante sempre esta em busca das seguintes

informaes abaixo. Obteno de informaes (roubo de segredos, nmeros de cartes de crdito, senhas e outros dados relevantes ao intruso);

 Promover algum estrago (desconfigurao de sites, destruio de informaes e paralisao do sistema); Utilizao dos recursos do sistema (repositrio de dados, disseminao de ataques distribudos, provimento de servios); Dinheiro, lucro; Vandalismo; Revanche, vingana pessoal; Curiosidade; Busca por ateno e projeo. Essas so os principais objetivos dos atacantes.

5.

Risco do pentest? Os ricos de fazer uma anlise de um pentest poder ocorrer a partir de

qualquer momento, pois e possvel que a rede para ou ate mesmo alguns programas parem de responder ou sero reiniciados, pois os testes iram explorar todas as vulnerabilidades e falhas da rede ou do sistema Sempre ser necessrio que o profissional faa seus testes com a equipe de T.I da prpria organizao e se projetar uma data e horrio especfico para que no haja nenhum tipo de impacto na organizao.

6.

Benefcios de um pentest? A cada momento que estamos falando de benefcios sempre vem em

nossas mentes coisas boas, e o benefcio de um pentest sempre e uma coisa bem vinda em nossa empresa, pois ira fazer uma auditoria de segurana em nossa rede e nos sistemas, a empresa vera e ter a oportunidade de saber realmente quais so as falhas de segurana em seu prprio ambiente.

Todas as empresas que sempre fazem suas verificaes de segurana e tem como umas das principais rotinas de verificaes esto minimizando um ato de ataque hacker. Segundo Caraponale realizar PEN TEST torna-se obrigatrio para empresas que fazem transaes com carto de credito.(2011)

7.

Prejuzo? Voc j tentou calcular o prejuzo que sua empresa teria se sua rede

fosse invadida e os dados excludos, roubados ou divulgados na internet? Muitas empresas nunca cogitaram essa possibilidade por isso no sentem a necessidade de provar se sua segurana realmente eficaz.

8.

Como funciona o pentest. A execuo de uma operao Pentest normalmente ir execut-las na

seguinte ordem:

Figura 3 - Fluxograma Pentest

A utilizao de uma anlise consiste de varias ferramentas e distribuies, praticamente todas open-source, onde so feitas e desenvolvidas por prprios crackers e hackers. A fase de uma anlise consiste em etapas. Segundo Andresc O especialista de pentest deve conhecer bem um firewall, um honeypot, IDS etc. Isso so alguns exemplos da rea, que um profissional de segurana deve conhecer. (2011) 8.1. Iniciar com o Footprinting:

E o primeiro passo para fazer levantamento de informaes bsicas para realizar um teste de intruso, onde envolvi coletar informaes sobre o alvo com o objetivo de descobrir maneiras de entrar no ambiente do alvo, gasta praticamente 70% do tempo coletando informaes sobre a vitima. 8.2. Enumerao (Levantamento de Informaes)

A enumerao consiste no reconhecimento da rede e dos sistemas atingveis. Os resultados esperados so: nomes de domnios, nomes de servidores, informao do ISP, endereos IP envolvidos e tambm um mapa da rede. Inclui ainda informao de registros de domnios para os servidores. E sempre mais fcil para o atacante levantar o perfil tecnolgico da empresa, mapear seus funcionrios chaves, como diretores, gerentes e

administradores de sistemas/redes para ento lanar mo de ataques de engenharia social. Para fazer o reconhecimento da rede, podem ser utilizadas diversas ferramentas e tcnicas, conforme o objetivo do ataque. Existem algumas ferramentas, que podero ser usadas no reconhecimento. Nslookup funciona em Windows e Linux. Serve para mapear endereos IP para um determinado domnio.

Comando a ser utilizado: nslookup dominio.com.br Whois Nos d toda a informao sobre um domnio registado (entidade que registou, endereo fsico, contactos, domain servers, etc) Comando a ser utilizado: whois dominio.com.br Netstat - uma ferramenta, comum ao Windows, unix e Linux, utilizada para se obter informaes sobre as conexes de rede (de sada e de entrada), tabelas de roteamento, e uma gama de informaes sobre as estatisticas da utilizao da interface na rede. Netstat.exe linha de comando que mostra todas as portas abertas para: Transmission Control Protocol (TCP) e User Datagram Protocol (UDP) Comando a ser utilizado: netstat -npat Dig serve para perguntar a um servidor DNS informao acerca de outras coisas, por exemplo, a verso do name server que a empresa est a utilizada. Comando a ser utilizado: dig dominio.com.br Engenharia social -Tcnica utilizao usada por a maioria dos atacantes, utilizando apenas o manuseio psicolgico, do usurio, forando-o a entregar e falar, suas informaes. Segundo Brignoli e Popper Os ataques so altamente eficazes e com um custo relativamente baixo, em funo da experincia do atacante.(2011, pg2)

8.3.

Scanning

Nesta fase de um teste de penetrao a identificao de portas abertas e servios a correr, na mquina(s) ou rede alvo, chegando assim a enumerao de vulnerabilidades do alvo. Tambm nesta fase do teste podemos incluir diversas ferramentas e tcnicas, conforme o objetivo do teste e a configurao da mquina/rede alvo. As ferramentas mais utilizadas para fazer scanning, so: telnet Serve para mostrar informao sobre uma aplicao ou servio (verso, plataforma). Comando a ser utilizado: telnet dominio.com.br porta nmap um portscan que pode ser usado para verificar as portas abertas em determinado host. Comando a ser utilizado nmap -v dominio.com.br hping3 uma ferramenta extremamente til para spoof de pacotes e packet injection em redes. Comando a ser utilizado hping3 dominio.com.br netcat port scanner ping testa conectividade IP traceroute Ele conta os hops da rede, desde a mquina em que executado at mquina/sistema alvo. 9

9.

Consideraes finais O resultado de uma analise pentest e apresentado na forma de um

relatrio contendo os pontos falhos e as possveis correes que devem ser aplicadas ou reconstrudas dependendo do nvel da falha. Fazendo uma analise bem elaborada e profunda chegaremos em alguma falha ou ate mesmo fazer um fortalecimento da rede. A melhor forma de defesa, entretanto, o conhecimento. As atualizaes sempre so bem vindas, pois se a atualizao a uma melhora.

10

10.

Referncias Bibliogrficas Andrezc, Pentest Fundamento para realizar um teste de fogo

disponvel em <http://segurancalinux.com/artigo/Pentest-Fundamentos-para-realizarum-teste-de-fogo> Acesso: 11 de junho de 2011 Caraponale, Dario Caraponale: CPBR10Segurana e Rede.

Penetration Test: como ser um hacker tico na pratica disponvel em <.http://www.youtube.com/watch?v=WH0xVVM2fbQ> Acesso: 5 de junho de 2011 Siqueira, Luciano Antonio Siqueira / Certificao LPI 2 So Paulo: Linux New Media do Brasil Ed. LTDA, 2009. Popper, Marcos Antonio Popper e Brignoli, Juliano Tonizetti Brignoli. ENGENHARIA SOCIAL: Um Perigo Eminente disponvel em

<http://fabricio.unis.edu.br/SI/Eng_Social.pdf >Acesso: 23 de junho de 2011 TANENBAUM, Andrew S. Redes de Computadores. Traduo

Vandenberg D. de Souza. 4. ed. Campus, 2003

11