Bandtec Pentest

PENTESTING
@allanpitter
facebook.com/allanpitter
br.linkedin.com/in/allanpitter/
AVISO LEGAL
Esta palestra visa apenas a apresentao de contedo de cunho educacional, embora todos
os esforos sejam de divulgao de conhecimento, a BANDTEC e o PROFESSOR no podem
ser responsabilizados por quaisquer dano ou problema ocasionado pelo uso inadequado
deste conhecimento, voc deve aceitar que as informaes aqui expostas so apenas para
fins de ensino e pesquisa.
A posse dessas informaes no viola nenhuma lei, ao contrrio, incentiva o conhecimento
como forma de proteo e evoluo da humanidade, permitindo novas descobertas e
tcnicas.
As ferramentas e tcnicas aqui expostas so oriundas de pesquisas, horas de leitura de

livros, cursos, estudos dirigidos e prticas da atividade profissional.
PENTESTING
allan.pressi@bandtec.com.br
ALLAN PITER PRESSI

allanpitter@terra.com.br
ALLAN PITER PRESSI

allanpitter@terra.com.br
EST PALESTRA
PATROCINADA
POR UM BANCO
PENTESTING
PENTESTING
PENTESTING
considerada uma pedra

angular da cultura hacker, e d
alguns esclarecimentos sobre a
psicologia hackers, moldou a
opinio da comunidade hacker
sobre si mesma e sua motivao.
O Manifesto afirma que os
"hackers" optam por hackear,
porque uma maneira pela qual
eles aprendem, e porque muitas
vezes so frustrados e
entediados pelas limitaes das
normas da sociedade.
PENTESTING
No foi o medo que tomou conta dele

apenas a noo ampliada das coisas
Lenidas
PENTESTING
CONHECIMENTO
HACKER UM
CAMINHO SUAVE
PENTESTING
PENTESTING
PENTESTING
PENTESTING
PENTESTING
PENTESTING
PENTESTING
PROFISSIONAL DA
COMPUTAO
PENTESTING
PENTESTING
Qual o jeito mais fcil de se

descobrir uma senha?
PENTESTING
Que os jogos comecem...
PENTESTING
PENTESTING
PENTESTING
Vamos testar?
PENTESTING
PENTESTING
PENTESTING
Tipos de Auditoria
Analise de Vulnerabilidades
Vulnerabilidades so brechas(Buracos) que podem possibilitar ao atacante
acesso a determinada parte do sistema. Nesse tipo Teste so utilizadas
ferramentas que avaliam as vulnerabilidades das aplicaes.
Analise de Conformidade
Avalia se a empresa segue os padres e as polticas de segurana
pr-definidas conforme a sua checklist.
Polticas de Segurana (Usuarios)
Testa se as Politicas esto de acordo com a realidade, exemplo: No deve se utilizar de
pendrives nas estaes, agora vamos colocamos um pendrive em uma estao
qualquer, e checamos se a estao aceita o uso de pendrive ou no, confirme descrito.
Teste de Invaso
Conhecido como Penetration Test(Teste de Penetrao) e para os ntimos
Pentest, seu principal objetivo saber se o ambiente avaliado esta suscetvel ou no a
invases.
PENTESTING
PENTESTING
Planejamento
Deciso do tipo de teste que ser feito: Caixa preta, Caixa
branca ou Caixa cinza;
Levantamento inicial das informaes:
Infraestrutura,equipamentos e recursos que sero
necessrios durante os testes;
Tipos de ataque que irao compor a simulao
Assinatura do NDA (do ingls, Non-Disclosure Agreement)
Estabelecer prazos, janelas de tempo para execuo dos
testes e tambm pontos de contato para tratamento de
questes especiais.
PENTESTING
Obtendo Informaes
Quais vetores podem ser explorados mais facilmente
Vasculhar a Internet atrs de toda informao
disponvel sobre o alvo;
Tcnicas mais comuns: whois, dig e nslookup, sites de
busca (por exemplo, Google), listas de discusso, blogs
corporativos e de colaboradores, Engenharia Social e
Coleta passiva (lixo).
PENTESTING
PENTESTING
google
dig
nmap
nessus
Metasploit
telnet
sendip
john the
ripper
host
hping3
Netcat
Maltego
Sondagem e Mapeamento
Identificao de hosts vivos

Portas e servios em execuo
Mapeamento da rede
Identificao de sistemas operacionais
Identificao de rotas
PENTESTING
PENTESTING
Identificao de Vulnerabilidades
Detectar quais servios possuem vulnerabilidades ou caminhos
que possam ser explorados para a invaso (Vulnerabilidades
conhecidas podem ser encontradas em listas especializadas, sites
de fornecedores de softwares e portais especializados);
Calcular estimativa de impacto de cada uma;
Identificao dos vetores de ataque e cenrios para explorao.
PENTESTING
PENTESTING
PENTESTING
PENTESTING
PENTESTING
Explorao
Disparada dos ataques;
Foco: obteno de acesso no autorizado com o maior
nvel de privilgios possvel;
Prova de conceito ( recomendado que tais provas
sejam testadas em ambiente controlado(VM),
principalmente se forem desenvolvidas por terceiros);
Confirmar a existncia de vulnerabilidades;
Documentar o caminho utilizado para explorao,
avaliao do impacto e prova da existncia da
vulnerabilidade;
Se possvel, escalar privilgios;
Metodologia ''para ou continua''.
PENTESTING
Documentao
Respeite os prazos e documente tudo, erros
e acertos.
PENTESTING
Pentest
Planejamento
Tipo de Abordagem?, Externo ou Interno?, Objetivo e Escopo.
Identificao de Vulnerabilidade
Coleta de Informaes, Identificao de Usurios, Deteco de
Vulnerabilidades
Explorao de Vulnerabilidades
Tentativa de acesso no autorizado, comprometimento de ativos,
abrangncia da vulnerabilidade
Resultados
Classificao do risco tecnolgico, Listagem de Vulnerabilidades,
Recomendaes e Aes.
Revalidao
Testes recorrentes, recomendaes, etc.
PENTESTING
Demonstracao
PENTESTING
Meu Cenrio
PENTESTING
Dvidas
apt-get
apt-get
apt-get
apt-get
apt-get
apt-get
install
install
install
install
install
install
hack
hack
hack
hack
hack
hack
my
my
my
my
my
my
mind
mind
mind
mind
mind
mind
OBRIGADO!!!!
PENTESTING

Bandtec Pentest

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Bandtec Pentest

Загружено:

Авторское право:

Доступные форматы

PENTESTING

As ferramentas e tcnicas aqui expostas so oriundas de pesquisas, horas de leitura de

ALLAN PITER PRESSI

ALLAN PITER PRESSI

considerada uma pedra

No foi o medo que tomou conta dele

Qual o jeito mais fcil de se

Que os jogos comecem...

Identificao de hosts vivos

Вам также может понравиться