Testes de Invaso

Estamos iniciando mais um projeto para o site. Como vemos diariamente em

nossos posts, a carncia em segurana da informao que boa parte das
aplicaes e sistemas tem tanto no Brasil e no mundo chega a ndices
absurdos. Como nos preocupamos muito com segurana, resolvemos nos dispor
a ajudar. Seu sistema/site seguro? O que acha de testar?
Veja

algumas

informaes

sobre

nossos

testes:

Tipos de teste
Black Box: Teste mais demorado, intrusivo e que demanda mais recursos, onde
os
auditores no tem nenhuma informao interna da empresa, adicionando uma
camada
a
mais de levantamento de informaes. O mais semelhante a ataque real.
Gray Box: Teste intermedirio, com algumas informaes internas como
sistemas,
infra
estrutura,
horrios,
servios,
etc.
White Box: Teste mais simples e rpido, testando apenas performance do
sistema
e
servios, com acesso a todas as informaes necessrias da empresa.

Tipos de ataque
Teste a equipe de Resposta a Incidentes: Testar a equipe de resposta a
incidente,
como agiriam em uma situao de ataque, como inibir estes ataques e corrigir
as
falhas.
Teste de Disponibilidade: Consiste em milhares de tentativas de conexo ao
servidor,
rede ou site da empresa para tentar esgotar os recursos do sistema.
Anlise de Vulnerabilidades em Sistemas: Testar possveis falhas nos
sistemas
da
empresa
que
podem
comprometer
todo
o
ambiente.
Anlise de Vulnerabilidades em Site: Testar possveis falhas no site da
empresa
que

pode

comprometer

prprio

site

expor

algum

dado

sensvel.

Auditoria de Rede: Teste para verificar as falhas e performance da rede tanto

cabeada
como
wifi.
Levantamento de Informao: Provavelmente o mais simples dos ataques,
sem
possveis contatos com sistemas computacionais, apenas levantamento de
informao
com fim de detectar o "elo mais fraco da corrente", o usurio, vazamento de
informao
e
falhas simples como senhas fracas e facilidade de acesso a determinada
informao.

Alguns outros pontos importantes

Permisso por escrito: Segundo a leis 12.735/2012 e 12.737/2012
brasileiras,
testes
desse porte podem ser classificados como crime virtual, por isso
extremamente
necessrio um contrato onde contenha todos os termos de como funciona os
testes,
uma
descrio bem completa destes testes, o escopo dos testes, a janela de ao
caso
definida, e um termo onde apresenta a autorizao de um responsvel pela
empresa
para
executar
os
testes
sem
problemas.
Termo de Confidencialidade: O contra ponto do contrato, este onde os
auditores
assinam se comprometendo a no divulgar os dados e resultados encontrados
no
teste
tanto de dados sensveis como falhas encontradas e tcnicas utilizadas para tal.
Escopo: Basicamente quais testes sero feitos, em que ordem e quais
sistemas
e
ambientes
podem
ser
ou
no
testados.
Janela de Ao: Nem sempre definida, mas basicamente em qual faixa de
horrio
os
testes podem ser executados, por exemplo, caso o cliente tenha um sistema
que
no
pode
perder performance em certo horrio de pico, os testes podem ser
administrados
para

rodarem

em

outros

horrios

de

fluxo

mais

baixo.

E ai se interessou? Como estamos comeando a prestar esses servios

profissionalmente agora, no vamos e nem nossa inteno concorrer com
empresas de segurana consagradas e famosas do Brasil. No exigimos o que
eles exigem mas tambm no temos ainda condies de alcanar certos pontos
como essas empresas. Mas temos o bsico, temos uma equipe focada e com
conhecimento suficiente para testar o que for necessrio, temos CNPJ e
emitimos nota fiscal tambm caso necessrio.