Esta é a segunda parte de uma história fictícia (ou não) sobre testes de invasão. Clique na tag Reciclando Hackers para conferir todas as partes publicadas.
Manuel e Victor aprendem o que é um pentest. (Baries/Freeimages)
Os irmãos Não-fiz-teste estavam esperançosos com a contratação de Ricardo, o “Aranha”, especialista em segurança da informação que lhes oferecera um “pentest” para encontrar e solucionar os problemas de segurança da página web deles, a Vai-e-Volta, que seguia desfigurada.
Victor e Manuel não sabiam que a Internet possuía tamanha diversidade cultural. De fato, essa imensa rede mundial é uma sociedade paralela, ocupada por pequenos bairros, rodovias luminosas e becos escuros. A aparente ausência de regras e de vigilância gera curiosidade, levando mesmo aquele que nunca cometeu qualquer transgressão a cometer um ato ilícito, fugindo das regras, impulsionado pelo gosto do proibido.
Ricardo já conhecia muito bem essa teia. Chamou os irmãos em seu escritório para uma reunião e aproveitou para apresentar seu assistente. Não sabemos o motivo, mas Aranha não o apresentou pelo nome: disse apenas “esse é o Gafanhoto”. Talvez ele fosse um tanto antissocial? No mais, era um rapaz com certa idade, calmo, não muito alto e com pernas tortas (daí o apelido).
Aranha sentou-se, cruzou as pernas e começou a falar serenamente sobre Pentetration Testing.
— Penetration Testing, tem como tradução “Ensaio de Penetração” ou “Prova de Penetração”, mas aqui no Brasil, a existência de uma conotação sexual para palavra “penetração” fez com que a mesma fosse substituída por “invasão”. Infelizmente, para nós brasileiros, acostumado com tanta violência que permeia este país, o sentido da palavra soa como pejorativo, ou seja, alguém que irá invadir de forma violenta sua propriedade e tomar seus pertences, causando uma má impressão nas pessoas com relação ao teste. Pentest é a forma abreviada de Penetration Testing.
“Não tem nada a ver com “teste de caneta”, completa Gafanhoto. Com o trocadilho, os dois especialistas deixam escapar um pequeno sorriso.
Ricardo retoma a explicação. “O teste de invasão segue uma metodologia. Não se resume em determinar se o site, por exemplo, está vulnerável ou não: há um encadeamento de ações que faz do teste um termômetro para avaliar a segurança de uma organização”.
Como os irmãos tinham um site, Aranha limitou sua explicação, enfatizando o objeto a ser testado. Ele, que amava os testes, não podia deixar de pensar que um pentest ia além, não se fixando somente em sites, — podia ser realizado em aplicações web, redes internas de empresas de qualquer porte, redes domésticas… Mas, em respeito ao cliente, decidiu por não alongar o assunto.
A estratégia, porém, não deu muito certo. Victor e Manuel, muito curiosos, queriam saber tudo, até os termos técnicos, pelo menos sobre os testes em sites. “Muito bem”, sorriu o Aranha. O especialista se inclinou para frente, apoiou os cotovelos na mesa, e começou a falar.
— Existem algumas metodologias de pentest como, por exemplo, a Open Source Security Testing Methodology Manual (OSSTMM) e a Penetration Testing Execution Stantard (PTES). Elas têm o mesmo objetivo, mas diferem em alguns caminhos que tomam. É claro que cada pentester, quem faz o pentest, tem sua liberdade de misturar quaisquer metodologias, desde que de forma coerente, sem perder o foco em suas ações e procedimentos.
A base metodológica adotada por Aranha e Gafanhoto seria PTES e ela é dividida em algumas fases principais.
A primeira etapa seria Pre-engagement Interactions. “É justamente o que nós estamos fazendo agora”, enfatizou Aranha.
— É nessa nossa conversa que queremos entender quais são os seus objetivos, como é o negócio de vocês, porque nos procuraram, o que vamos testar, se é somente o seu site ou também o servidor de vocês que hospeda o Vai-e-Volta. Dessa forma iremos definir o que chamamos de Escopo, que é a nossa delimitação de trabalho: endereços de IPs, servidores, definir os dias e horários dos testes, os riscos que podem ocorrer durante um pentest, — às vezes, devido à falta de boas configurações ou atualizações o site pode sair do ar, ou um serviço pode ser desativado. Claro que isso depois será corrigido, mas, até que ponto podemos ir em nossos testes? Note, que a nossa tradução, teste de invasão, peca por isso também, nós só iremos invadir, no caso, se isso for permitido, caso contrário faremos apenas o que for estabelecido em contrato.
Nisso os irmãos se entreolharam com ar de aprovação e de satisfação, pois viram que se enganaram completamente em suas pesquisas sobre pentest. Agora eles estavam mais confiantes e prontos para dar continuidade, com mais segurança, em seus negócios.
Estranhamente, Gafanhoto interrompe Aranha e começa a falar.
— A segunda etapa chama-se Information Gathering, que nada mais é que a coleta de informações sobre seu negócio. Essa coleta pode ser feita tanto internamente, através da Engenharia Social, por exemplo, como externamente, utilizando ferramentas para coletar informações sobre a organização.
Seguimos com a Threat Modeling. Essa fase depende muito do que foi obtido da anterior. Com os dados coletados, iremos identificar e reunir ameaças encontradas e, pensando como atacantes, elaboramos planos para tentar tirar vantagem de alguma forma do site de vocês.
Depois é a vez da Vulnerability Analysis. Nessa etapa iremos atrás das vulnerabilidades no Vai-e-Volta, e cada uma delas, será cuidadosamente analisada a fim de determinar até que ponto elas podem ser exploradas. Já vimos que o site sofreu um deface, uma forma de pichação virtual, que nada mais é uma alteração da página principal feita pelo atacante. Aí já vemos que existe alguma vulnerabilidade a qual possibilitou o deface.
Nesse momento, Aranha oferece um café aos irmãos. Foi uma maneira educada de cortar Gafanhoto e ganhar a vez da fala — não que ele não jamais servisse café aos clientes. Pelo contrário. Tudo pareceu muito natural, e logo ele já estava de volta ao assunto principal.
— Depois temos a fase Exploitation. Embora seja uma parte “divertida”, pois é aí que tentaremos ganhar acesso ao sistema, ela é de suma importância, pois iremos determinar por onde foi que o atacante entrou no site de vocês.
Em seguida vem a Post Explotation. Uma vez dentro do sistema, avalia-se o valor dele, se tem arquivos de dados sensíveis, como senhas, registro financeiros, dados de clientes, familiares, projetos em andamento e por aí vai. Normalmente o atacante sempre deixa algo para poder retornar ao sistema invadido sem ter que refazer toda operação. Uma das alternativas é deixar um backdoor, um programa que permite acesso remoto.
Por fim, temos a fase Reporting. Aqui iremos escrever um relatório para vocês. Nesse relatório apontaremos o que vocês estão fazendo certo e o que não estão. Vamos dar sugestões de como corrigir; vamos levantar uma hipótese fundamentada de como ocorreu o deface, ou seja, qual ou quais vulnerabilidades possibilitaram que ocorresse o ato. Mostraremos também como transcorreu o pentest, as ferramentas utilizadas, resultados apresentados, tudo de uma maneira para que vocês possam entender, Vamos usar gráficos e tabelas para facilitar.
Normalmente são dois relatórios: o Sumário Executivo, que é uma visão geral do que foi feito durante o pentest e é mais direcionado para aqueles que cuidam da segurança da organização, e todo mundo, que de alguma forma pode sofrer algum dano decorrente das ameaças. O Relatório Técnico é mais um passo a passo do que foi feito, explicando as fases do pentest em detalhes.
No caso da empresa de vocês, como são os únicos responsáveis tanto na parte de gerenciamento quanto na parte técnica, faremos um relatório único, com uma pitada de cada um deles, para que possam entender melhor e tomar as devidas providências nas correções propostas no relatório.
Aranha finalmente concluiu sua explicação.
Os irmãos se levantaram praticamente ao mesmo tempo. Queriam que já começassem o serviço. Victor abandonou sua calma e pediu para que a dupla de especialistas desse início ao pentest.
“Claro, mas antes temos que colocar tudo no papel, temos que legalizar o teste, tudo deve ser documentado, entre ambas as partes”, lembrou Aranha, em um tom que tranquilizasse seus clientes. “Temos dois contratos. O primeiro é a permissão dada por vocês, os irmãos Não-fiz-teste, para a prestação de serviço de pentest na empresa Vai-e-Volta. O segundo, chama-se Non-Disclosure (ou Confidentiality) Agreement, que é o Acordo de Não-Divulgação, ou de Confidencialidade, cuja finalidade se resume no sigilo do que foi encontrado durante os testes. É nesse contrato que nós nos comprometemos em não revelar nada do site de vocês para terceiros”, finalizou.
Aranha como Gafanhoto estavam em acordo a respeito do tipo de pentest que iriam fazer no site dos irmãos. Explicaram para Victor e Manuel que o tipo Black Box era o ideal, além de ser o mais escolhido pelas empresas, pois reflete a realidade de um ataque. Só precisariam do número do IP do site ou da URL (Uniform Resource Locator – Localizador Padrão de Recursos). Ainda bem que os irmãos haviam estudado antes e sabiam que URL nada mais era que o endereço do site:
Uma vez terminadas as explicações, acertados os dias e horários dos testes, assinado os acordos, um dos irmãos, não me recordo qual, perguntou: “por que um hacker fez aquilo com o nosso site?”
Gafanhoto deu um salto de sua cadeira, passou a mão no cabelo e, cabisbaixo e sem dizer nada, foi pegar um café com leite. Já Aranha enrubesceu, sentou-se, olhou para o teto, deu um suspiro e, meio que gaguejando, retrucou: “Hacker…?!”
Esta é a segunda parte de uma história fictícia (ou não) sobre testes de invasão. Clique na tag Reciclando Hackers para conferir todas as partes publicadas.
Linha Defensiva 
Aguardo o desfecho dessa história, Pq será que o gafanhoto saiu para buscar café?!!!
Parabéns ao autor!
CurtirCurtir
Boa pergunta hehehe… obrigado!
CurtirCurtir
Hahahahaha que história legal, caaara…
CurtirCurtir
Muito obrigado! :)
CurtirCurtir