Pentesting, pode ser classificado como método de auditoria de segurança, os pentester que são profissionais especializados em realizar teste de intrusão. Simulam ataques com o intuito de mensurar o impacto caso seja bem-sucedido. Desta forma é possível descobrir e validar todo o âmbito de toda a infraestrutura, processos, aplicações de modo a serem descobertas falhas ou vulnerabilidade, (http://www.vlogdeti.com/o-que-e-pentest/).
Dentro os vários motivos para realizar um ataque a um software, se destaca as invasões por questões financeiras, pessoais, cometer fraudes, sabotagem, crimes ou guerra.
Invasor é uma pessoa com alto nível de conhecimento técnico, seus ataques são minuciosamente planeados. É importante que esteja presente o estudo do comportamento do alvo, descobrirá desta forma uma brecha na segurança dando início ao seu objetivo depois de passar por várias etapas ou fases.
As etapas de estudo dividem-se em:
- Reconhecimento: toda e qualquer informação sobre a empresa a ser atacada é indispensável, como o ramo de atuação, se existem filiais ou empresas coligadas, endereços de e-mails, nomes dos principais cargos, do mesmo modo podem ser utilizado “phishing” de modo a ultrapassar alguns obstáculos tecnológicos.
- Mapeamento: Mapear toda a estrutura de endereços e dos equipamentos associados.
- Identificação dos serviços: depois de conhecer as máquinas da rede, essa etapa consiste em descobrir e identificar os serviços que estão sendo executados em cada equipamento
- Pesquisa de vulnerabilidades: fase em que o software é examinado com intuito de encontrar alguma vulnerabilidade e se é explorável.
- Exploração das vulnerabilidades: após a busca das vulnerabilidades, é realizado a invasão ao software, podendo interromper o serviço, atacar o SQL ou dar início à execução de um outro programa que recebe comandos remotamente.
- Criação de pivôs: Implementação de backdoor e rootkists como exemplo; o invasor deixa instalado um programa que facilita o seu retorno ao software. Esses tipos de programas são chamados de backdoors (“portas dos fundos”) e rootkits (programas que se mantêm em baixo do SO e, portanto, difíceis de serem localizados ou eliminados).
- Eliminação de vestígios: as invasões são registradas através do histórico (logs) ou de arquivos temporários. Para apagar os rastros o invasor terá que apagar esses registros, podendo tornar impossível ser identificado.
- Relatório: deve constar toda a informação recolhida e metodologia efectuada.
Características
Estes tipos de “auditorias de segurança” são referenciadas como de RED TEAM, ou no caso de profissionais ambivalentes: PURPLE TEAM (a soma de conhecimentos de RED e de BLUE).
Devido a questões legais (em alguns países é proibido e em outros é limitado), é obrigatório um forte contrato legal onde serão bem definidos os objectivos, limitações, prazos e regras a serem utilizadas.
Apesar de muito conhecido, nota-se que o nome é utilizado de forma abusiva, pois é referido em partes parciais e incompletas.
É dividido em 3 formas básicas (conforme a informação conhecida inicialmente):
– Black Box: – É totalmente desconhecida informação prévia,
– Gray Box: – É conhecida a informação básica mas não completa,
– White Box: -É conhecida de forma completa a informação.
As ferramentas utilizadas são obviamente as mesmas que qualquer atacante com más intenções utiliza, por isso, para própria defesa do pentester, deve a sua acção ser fortemente validada por um forte e robusto contrato legal com o cliente e com forte auto-rastreio.
Na BLACK BOX, tem de ser sempre considerado que este tipo de auditoria tem custo elevado se não for bem definido o âmbito, pois implica normalmente, técnicos altamente diferenciados e com uma duração temporal de várias semanas ou meses.
Advento da PURPLE TEAM
Com a existência de técnicos que dominam ambas as metodologias de segurança. Vai sendo transposto para a BLUE TEAM ferramentas automáticas de monitorização com acções especificas de pentesting, A saber:
1 Reconhecimento
3 Identificação de serviços
4 Identificação de vulnerabilidades
Onde os programas efectuam varrimentos agendados periodicamente de modo a determinar e alertar do estado as equipas de segurança e de risco.
Muitas vezes estes serviços e funcionalidades são vendidos erradamente como “pentesting”.
Vantagens e desvantagens ao Negócio
Quando implementado (https://defenselifecycle.com/testes-penetracao/) tem as carecteristicas no retorno:
É um grande benefício a utilização de pentesting em:
– Organizações com SGSI implementado e de preferência “maduro”
– Utilização de WHITE BOX em aplicações e componentes de infraestrutura
– Testes de “phishing” (reconhecimento) de modo a testar a maturidades dos elementos humanos da organização
Nas condições anteriores o custo da auditoria é bastante reduzido tendo em face os objectivos do negócio.
Não é recomendada a utilização de pentesting em:
– Organizações sem implementação de SGSI ou estado inicial.
Neste caso, o custo é altamente elevado em relação aos benefícios e o relatório não vai introduzir informação relevante.