Esta é a quarta parte de uma história fictícia (ou não) sobre testes de invasão. Clique na tag Reciclando Hackers para conferir todas as partes publicadas.


Cadeado (Baries/Freeimages)

Começam os testes! (Baries/Freeimages)

Apesar das brincadeiras e do tiro, ou melhor, do grito de largada, os dois pentesters trabalhavam em equipe. Claro que uma brincadeira estimula a “competição” entre eles, consolidando e unificando o que cada um faz e a colaboração mútua.

O primeiro passo a ser dado pelos nossos dois brincalhões e astutos artrópodes é o de restaurar o site: recompor a página inicial do Vai-e-Volta, tirando-o de sua cova e a ressuscitando ao mundo dos bits.

Apesar de não ter feito nenhum teste antes, os irmãos Não-fiz-teste, tomaram algumas medidas de segurança, como o backup de todo o conteúdo do site.

Gafanhoto sorriu e respirou aliviado ao ver nas mãos de seu colega um DVD contendo o backup. Gafanhoto, com um tom de voz afável, exclamou: “Porque não me disse que eles tinham feito um backup?!”. Aranha meio que sem jeito deixou escapar um “Ops!”.

Com o backup em mãos, Aranha e Gafanhoto puderem restaurar a cara inicial do Vai-e-Volta, assim como todo o seu conteúdo.

Uma vez restaurada a página inicial, links, imagens do site, eles agora iriam iniciar o trabalho de reconhecimento do alvo. Alvo para eles não tinha o sentido de um objeto a ser atacado, mas de um motivo ou objetivo a ser realizado.

Para tanto, eles começaram a “folhear” o Vai-e-Volta, página por página, lendo os textos, clicando nos links e vendo cada detalhe daquelas obras feitas de lixos. Até reconheciam alguns objetos em meio às esculturas, como latas de refrigerantes, pedaços de garrafas plásticas, brinquedos (inteiros ou partes); uma infinidade de lixos que poderia estar entupindo bueiros ou pretejando o verde das florestas.

Depois começaram a examinar o código fonte das páginas, iniciando pela página inicial e passando para as próximas. Procuram por comentários, códigos deixados de lado, senhas presentes (eles sabiam que, por incrível que pareça, muitos web designers tinham este costume de deixar senhas no código visível) e links internos, que dariam acesso a outra parte do site que não deveria estar aberta. Nesse momento eles só queriam saber o que os irmãos Não-fiz-teste fizeram com o que aprenderam sobre programação.

É interessante frisar que os dois companheiros trabalhavam numa sincronia de dar inveja a qualquer dueto bem treinado. Seus cliques e comandos eram de tamanha maestria, tinham tanta destreza, que suas sombras projetadas na parede se sobrepunham, dando a impressão de ser somente uma pessoa.

Uma das páginas que eles sabiam que não estava linkada mas que provavelmente existiria era:

http://www.vaievolta.br/robots.txt

O arquivo robots.txt fica localizado no diretório de mais alto nível (raiz) de onde o site está hospedado. A função desse arquivo é permitir ou bloquear acesso a determinada partes e/ou arquivos do site para limitar mecanismos buscas, como o Google, Bing, por exemplo.

É um arquivo simples feito com o Bloco de Notas, com uma sintaxe bem amigável:

  • User-agent: o nome do robô que deve seguir as regras.
  • Disallow:, a URL a qual quer bloquear.
  • Allow: a URL que quer permitir.
  • Sitemap: faz referência a URL que contém um arquivo feito em XML com todas as páginas do site de forma organizada. É uma maneira inteligente de mostrar aos robôs como está estruturado o site.

Robô (robot) nada mais são que programas de computadores pertencentes aos sites de buscas. Eles vagam pela Internet indexando conteúdo. O robô do Google chama-se Googlebot; o do Bing, Bingbot. Esses robôs verificam a existência do arquivo robots.txt e obedecem às regras aplicadas a eles. Isto é feito verificando o user-agent:, desta forma: User-agent: Googlebot criará uma regra válida unicamente para o Google.

No caso dos irmãos Não-fiz-teste, não existia nenhum arquivo robots.txt. A consequência disso é que tudo que for encontrado pelos robôs no Vai-e-Volta será indexado. Ser indexado significa que páginas que não deveriam ficar expostas irão aparecer nas pesquisas feitas nos mecanismos de buscas. Assim páginas de administração, arquivos sensíveis, contendo senhas, ou alguma informação importante ficarão visíveis para qualquer usuário da grande rede virtual.

Como o robots.txt oculta páginas em pesquisas, ele é erroneamente visto como um mecanismo de segurança. Mas ele tem uma desvantagem: qualquer um pode acessá-lo e ele mostra exatamente a localização das páginas que se quer esconder.

Uma alternativa para que uma determinada página não seja indexada pelos motores de busca é o uso da metatag “noindex”. No entanto, a melhor saída para criar uma área particular é o uso de um sistema de login e senha em uma pasta que não seja divulgada.

Neste ponto Aranha e Gafanhoto resolveram quebrar a sincronia, trocando-a pela sintonia. Ou seja, seguir com o mesmo objetivo, coletar informações, porém cada um fazendo um tipo de teste.

Os irmãos Van Gogh do Lixo assinaram o contrato com os especialistas dando permissão quase total para eles, inclusive para invadir o servidor, caso conseguissem, e que dessem continuidade com a fase pós-exploração. Só houve restrição aos testes de stress, ou teste de carga, que são testes do tipo Denial of Service (DoS – Negação de Serviço), cuja finalidade é verificar se o servidor deles aguentava um carga elevada de requisições de serviços sem sair do ar, isto é, o famoso “tango down!”.

Gafanhoto, que não era muito de sair, ficou no escritório e responsável por duas etapas: OSINT e Footprinting.

A primeira, Open Source Intelligence (OSINT), é a coleta de informações do Vai-e-Volta que estão disponíveis publicamente. Reunir o máximo de informação possível através de buscas inteligentes (Google Hacking) e com o uso de algumas ferramentas presentes no Kali como, por exemplo, a metagoofil, ferramenta projetada para extrair metadados de documentos públicos; theHarvester, para coletar e-mails, nomes, hosts, portas abertas e banners em fontes públicas através de sites de busca: Google, Shodan entre outros.

A segunda etapa, o Footprinting, seria obter o máximo de informação externa do alvo, o que ele está expondo para a Internet. Portanto, nessa fase, existe uma maior interação com o site, o que quer dizer que os dados coletados são diretamente dele. Coletar banners de serviços sendo executados, “impressões digitais” (fingerprints), execução de port scanning, transferência de zona, ou seja, tudo aquilo que o Vai-e-Volta está deixando “escapar” de informação que possa ser útil para os mais curiosos ou de intenção não muito amigável.

Enquanto Gafanhoto ficava trancado no escritório, Aranha iria fazer uma visita aos irmãos. No primeiro momento ele não iria anunciar sua presença. Chegaria na surdina direto para o lixo no intuito de revirá-lo (dumpster diving) e achar alguma informação útil que tivesse sido descartado pelos os dois artistas.

Em princípio pensou que seria muito difícil — o lixo era o material de trabalho deles, afinal –, mas ao chegar na residência viu tamanha organização nas lixeiras que sorrio com satisfação, pois sabia qual delas iria revirar.

Uma vez feito isso, ele iria mapear as mediações da casa, checar a vizinhança e verificar a rede wireless dos irmãos.

Em seguida tocou a campainha. Foi atendido por Manuel que sorridente e surpreso indagou: “Você por aqui?!”. Virou e já foi gritando para seu irmão: “Victor, temos visita!”.

Aranha disse que seria breve, que veio para conhecer o ambiente de trabalho deles, assim como a localização da rede, máquinas, servidor, enfim, toda a infraestrutura organizada pelos irmãos para atender às necessidades digitais.

Depois de revirar tudo, mapear e desenhar, Aranha disse que tinha terminado e que estava indo embora. Os irmãos, educados que eram, ofereceram algo para comer. Aranha não se fez de rogado: sentou-se à mesa, encurvou o corpo para frente, bem próximo daquela suculenta refeição. Começou a servir-se do lanche com tamanha rapidez que suas mãos pareciam um par de quelíceras em ação.

Parou e olhou para os irmãos. Notou em suas faces um tom de interrogação, como quem queria dizer algo sobre o que fora encontrado por eles até agora.

Aranha terminou de mastigar e de engolir o último alimento que pôs em sua boca. Limpou os lábios e mais uma vez, com um sorriso no rosto, disse: “Aguardem o relatório!”.


Esta é a quarta parte de uma história fictícia (ou não) sobre testes de invasão. Clique na tag Reciclando Hackers para conferir todas as partes publicadas.

Anúncios

Escrito por dmoicano

2 Comments

  1. Caaaracas… que história maneeeeeira vei :D :)

    Curtir

    Responder

    1. Moicano Diego 05/07/2017 às 09:12

      Agradecido meu amigo. :D

      Curtir

      Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s