Esta é a quinta parte de uma história fictícia (ou não) sobre testes de invasão. Clique na tag Reciclando Hackers para conferir todas as partes publicadas.


Cadeado Segurança (Mihai Andoni / Freeimages)

Acompanhe Aranha e Gafanhoto enquanto eles trabalham para localizar problemas no ‘Vai e Volta’. (Mihai Andoni / Freeimages)

Aranha sabia muito bem que quanto mais comentasse sobre o que foi encontrado mais provável que outras pessoas ficassem sabendo. De fato, um segredo deixa de ser um segredo quanto mais pessoas o sabem; da mesma forma, uma senha de acesso vai perdendo seu sigilo quanto mais for replicada em outros computadores.

Os nossos analistas tinham um acordo entre eles: só falavam de algo encontrado em seus testes se realmente merecesse atenção e urgência. Caso contrário, seria uma quebra de silêncio do Acordo de Confidencialidade.

Uma vez explicado isso aos irmãos, Aranha se levantou daquela farta mesa cheia de guloseimas e se despediu dos dois com um simples “até logo!”.

Chegando no escritório, Aranha se deparou com Gafanhoto olhando para a tela de seu computador com um sorriso triste. “Já vi que a coisa está feia!”, pensou. Aproximou-se de seu colega e deu um tapa em suas costas. Gafanhoto deu um berro e mais uma vez saltou todo desengonçado, batendo sem querer com os pés em sua mesa entregando suas anotações ao deus do Caos!

Os dois analistas eram muito profissionais, mas às vezes exageravam em suas brincadeiras. Ao se levantar, Gafanhoto estava com seu rosto desfigurado, como se estivesse passando por uma ecdise, uma fisionomia jamais vista por Aranha. Gafanhoto deixou sua quietude de lado e começou a desenrolar sua língua cuspindo um monte de palavras, sem tempo de Aranha ter uma reação.

Aranha escutava e escutava sem conseguir responder. Ele não estava bem: com um rosto amarelo-esverdeado e com uma forte náusea, parecia que seu fígado estava sendo chutado — uma espécie de cólica biliar profunda. Provavelmente algo que comera na casa dos irmãos e não lhe caiu bem.

O Sol já estava tocando a linha do horizonte quando todo esse entretenimento tumultuado se acalmou. Aranha, já medicado e com uma aparência bem melhor, chama Gafanhoto para uma reunião. Gafanhoto parecia mais calmo e já tinha levado a ordem de volta às suas anotações.

A próxima fase, Threat Modelling (Modelagem das Ameaças), é o momento de alinharem suas descobertas e elaborarem um plano de ação para as fases seguintes do pentest. A fase anterior, coleta de informações, é essencial para o pentester. Boa parte do tempo de um pentest deve ser dedicada a esta fase, pois, a partir dela, pode-se ter uma visão detalhada de todo alvo.

Aranha e Gafanhoto estavam centrados na motivação do deface no site dos irmãos Não-fiz-teste. Viram que o site dos irmãos tinha um bom público e estava sendo muito comentado em quase tudo quanto é bit das encruzilhadas virtuais.

Embora o Vai-e-Volta tinha alguns acessos suspeitos, e alguns indícios de que tenha sofrido ataques, os dois especialistas acreditavam que o defacer não teve motivo algum. Achavam que o atacante deve ter feito um scan a procura de sites vulneráveis com algum script, o que é muito comum hoje em dia, e ter encontrado o Vai-e-Volta.

Ao elaborar um modelo de ameaças, nossos amigos de corpos segmentados pensarão como o atacante: analisar dados da organização, nomes, e-mails e palavras-chave. Concentrar-se em ameaças que realmente podem causar algum risco para a organização é fundamental.

De fato, ao analisar os dados coletados, várias ameaças e vulnerabilidades podem ser encontradas e, a partir delas, muitos tipos de ataques podem ser planejados. Cabe ao analista filtrar isso e destacar o que realmente merece atenção, pois seria perda de tempo, tanto para um atacante quanto para o pentester, analisar a viabilidade de todas as combinações possíveis de ataques.

Com os dados coletados também é possível criar uma word list utilizável em ataques do tipo brute force. Essa word list, ou “lista de palavras”, é um arquivo de texto com várias palavras, personalizadas e/ou personificadas que tenham relação com o alvo – neste caso, aos irmãos e ao seu negócio. O objetivo é tentar descobrir o par usuário:senha de algum serviço, ou área privada do site, como a página do administrador, que esteja exposta na Web, e fazer isso por tentativa e erro a partir dessas palavras.

Também é possível definir os tipos e quais ferramentas serão utilizadas nos testes, assim como os melhores exploits; analisar os relatórios (logs) de acesso no Vai-e-Volta, para confirmar ou não o tipo de atacante e/ou o motivo do deface; menções relacionadas ao trabalho e ao site dos irmãos nas redes sócias, inclusive em comunidades de black hats.

Depois de algumas horas conversando, Aranha e Gafanhoto parecem estar satisfeitos com o que conseguiram. Pelo visto, já sabiam como tudo aconteceu. Resolveram então repassar tudo como um checklist.

Aranha ditava a sequência e Gafanhoto a complementava. Aranha começou, dando um grito seco:

– Avaliação do alvo!

– Mapa lógico, sobre a estrutura do site, do servidor (firewall etc) ok! Mapa sobre a estrutura física da rede (ativos relevantes) da casa dos irmãos, ok!

O bate-rebate entre os dois continuou.

– Tipo de atacante.

– De acordo com o negócio e histórico dos Não-fiz-teste, tudo indica que o tipo atacante oportunista é o que mais se encaixa. Ok!

– Modelo de ameaças!

– Enumeradas! Seguindo os mapas lógico e físico de acordo com o grau de risco: do maior para o menor.

– Recomendações e contramedidas.

Aranha percebeu que Gafanhoto tinha uma expressão sonolenta e o cutucou. “Não é hora de dormir!”. Gafanhoto, novamente bem acordado, respondeu:

– Todas feitas, e ordenadas de acordo com o grau das ameaças encontradas supracitadas.

“Pronto, tudo organizado”, diz Aranha, sorrindo. Gafanhoto se espreguiça, olha para seu colega, ainda meio dopado devido ao excesso de remédios que havia tomado, e diz: “Amanhã o dia promete. Iremos seguir com os planos e passar para a fase seguinte. Vamos dormir e descansar um pouco agora.”

Apesar da disciplina vertical dos dois analistas, eles sabiam muito bem que as fases de um pentest são como bolhas de água em ebulição: as vezes você tem que retornar para a fase anterior para depois continuar novamente.

Aranha acata as palavras do Gafanhoto. Pede desculpas pelo incidente com suas anotações. Gafanhoto olha para seu amigo e sinaliza com a cabeça um “não se preocupe”. Saem do escritório, se despedem, se dão as costas e rumam para suas casas, caminhando com a mesma sequência e sincronia em suas passadas.


Esta é a quinta parte de uma história fictícia (ou não) sobre testes de invasão. Clique na tag Reciclando Hackers para conferir todas as partes publicadas.

Anúncios

Escrito por dmoicano

2 comentários

  1. To gostando muito das histórias!!

    Curtir

    Responder

    1. Moicano Diego 05/07/2017 às 09:13

      Opa, maravilha… Valeu! :)

      Curtir

      Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s