e-book

SEGURANÇA EM
AMBIENTES
WIRELESS
SEGURANÇA EM
AMBIENTES
WIRELESS
Estamos em uma crescente onda de criação e
utilização de dispositivos que buscam facilitar nossas
tarefas diárias seja a âmbito empresarial ou pessoal,
cada vez mais utilizamos recursos tecnológicos que
exigem uma conexão com a rede. Tal demanda gera
uma necessidade em analisar quais as melhores
tecnologias a serem empregadas em diferentes
aspectos para garantir um ambiente seguro.

Uma grande novidade vem sendo a internet das

coisas consistindo na utilização de objetos cotidianos
com acesso a internet como televisor, videogame,
fechaduras inteligentes, babá eletrônica, etc... Estes
dispositivos dependem de um acesso a rede seja
para recursos locais ou hospedados na nuvem.
Além de apenas conectividade é preciso projetar
a interoperabilidade para que diferentes tipos de
dispositivos tenham a capacidade de se comunicar
entre si e acessar os mesmos recursos (semelhantes
ou não). Para esta interoperabilidade ocorrer,
fabricantes passaram a projetar seus aparelhos com
placas de rede interna.

2
Entramos então em um ponto crucial. A crescente
demanda de acesso a rede por parte de diferentes
dispositivos fez com que os ambientes wireless
fossem implementados em larga escala, onde muitas
vezes a segurança pode não ser uma alta prioridade.
Visando garantir pelo menos a mínima segurança em
tais ambientes alguns pontos devem ser levantados,
como a forma de autenticação de usuários através
de métodos seguros, segmentação de rede para
um melhor direcionamento de recursos etc... A
questão é: O que deve ser levado em consideração
na implementação de uma rede para garantir a
segurança adequada a todos? Estas medidas de
segurança podem ser burladas por alguém com
conhecimento na área?

Dentre várias áreas da Segurança da Informação

temos a segurança ofensiva onde o profissional
atuante é o Pentester. Este material visa explorar
alguns dos principais conceitos de segurança em
relação a um ambiente Wireless.

3
 01
TECNOLOGIA
WIRELESS
Quando se fala em segurança uma das primeiras
coisas que pode vir a mente é a utilização de
senhas. De fato, uma senha forte é vista como
uma boa prática de segurança, mas será que
apenas implementar uma senha grande torna o seu
ambiente mais seguro?

Nem sempre! É claro que uma rede aberta expõe

o seu ambiente e o torna inseguro, porém alguns
métodos de autenticação utilizados em WiFi são
tão fracos que alguém com conhecimentos básicos
em segurança conseguem burlar-los em questões
de minutos.

Com certeza você não irá querer a sua rede exposta

a um agente mal intencionado.
Então como primeiro passo podemos entender um
pouco mais sobre os três métodos de autenticação
de senha em WiFis, sendo eles:

WEP - Wired Equivalent Privacy

WPA - Wi-Fi Protected Access
WPA2 - Wi-Fi Protected Access 2

4
 Do mais antigo ao mais recente a implementação
pode ser feita utilizando um dos três para
prover os meios de autenticação na rede, onde
consequentemente o WPA2 é o mais indicado por
ser mais recente e seguro. Como falaremos dos
tipos de autenticações, é interessante sabermos
que existem ferramentas que podem auxiliar
nestas análises de segurança, as quais veremos
brevemente a seguir.

1.1 Ferramentas Essenciais

Dentre várias ferramentas disponíveis no mercado algumas são essenciais na

exploração geral de um ambiente Wireless independente de seu tipo, porém
cada etapa de testes terão ferramentas específicas e direcionadas para um
determinado tipo de ataque.

Abaixo para o início de exploração na análise de rede e interceptação de

pacotes temos o conjunto de ferramentas disponibilizado pelo Aircrack, onde
se evidencia muito útil e versátil para direcionarmos diferentes testes.

FERRAMENTA FUNCIONALIDADE

aircrack-ng Identificação de redes, sniffer e quebra de senhas

airmon-ng Gerenciamento de placa de rede: modo monitor e canais

airodump-ng Capturar pacotes de redes em monitoramento

aireplay-ng Injetor de pacotes/frames na rede para ser utilizado

posteriormente com o aircrack.

A documentação do Aircrack Suit pode ser vista em seu site oficial: https://www.aircrack-ng.org

5
 02
ENTENDENDO
OS MECANISMOS
DE AUTENTICAÇÃO
A implementação de uma senha como já visto é o
primeiro passo a dar visando aumentar a segurança
do ambiente. Mas nem sempre uma senha grande
é considerada forte, depende do método que o
ambiente utiliza na rede para a validação de tais
dados. Um exemplo simples seria imaginar uma
conversa com um amigo onde você sempre fala uma
senha para que ele saiba que é você, porém uma vez
que outras pessoas escutem esta senha ela pode
ser comprometida.

O nível de segurança de uma rede com senha

para um usuário comum pode ser indistinguível
independente do método utilizado, porém para um
usuário avançado com conhecimentos na área a
percepção é bem diferente.

6
2.1 WEP - Wired Equivalente Privacy

Criada em 1999, ampara basicamente todos os tipos de dispositivos

WiFi do mercado. Por ter sido concebido como primeiro método para
autenticação wireless, o seu nome “Privacidade Equivalente ao Cabo”
(Wired Equivalente Privacy), sugere que a segurança em sua utilização
seria a mesma utilizada em uma internet cabeada. Tal concepção foi bem
vista em meados de 2000, porém o método logo tornou-se obsoleto nos
anos posteriores após diferentes descobertas de vulnerabilidades em sua
implementação.

O WEP está oficialmente obsoleto desde meados de 2004, quando a

associação que certifica produtos sem fio (wifi Alliance), parou com o
suporte a ela.

PROBLEMA DE SEGURANÇA

WEP utiliza um algoritmo chamado RC4 que Para um usuário comum a quebra pode ser
consiste em um codificador de fluxo. Além bem difícil, mas alguém com o intuito real de

do RC4, temos a utilização de vetores de quebrar o WEP consegue a façanha em alguns

minutos e pesquisas na web, independente do
inicialização (Initiator Vector), que envia em
tamanho e variedade de caracteres especiais
texto limpo as cifras para validar e garantir
que seja definido no roteador.
que a mesma não se repita.

Dessa forma, NÃO É indicado a utilização do

O conceito de não repetição cai por terra
com o alto processamento de computadores
comuns da atualidade. É visto que de período
em período as chaves se repetem, com isso a
quebra consiste na análise de fluxo da rede.
Em resumo, a quebra pode ocorrer em menos
de um minuto dependendo do fluxo da rede
no momento da interceptação.
WEP em consideração aos atuais padrões de
segurança.
Para suprir as necessidades de melhoria do
WEP, a Wifi Alliance ao final de 2003 possui o
projeto sucessor: o WPA também conhecido
como WEP2, o qual prometia melhorias
melhorias ao WEP que foi descontinuado no
ano seguinte.

7
2.2 WPA - Wi-Fi Protected Access

Com o desenvolvimento e implementação do WPA antigos problemas do

WEP teriam teoricamente sido resolvidos. A tecnologia empregada associou
pontos do antigo protocolo para que aparelhos não ficassem obsoletos,
porém com essa herança o WPA surgiu também alguns problemas conhecidos.

Focando em pontos positivos, o “novo protocolo” foi desenvolvido com uma

criptografia de 256 bits, antes 128 pelo WEP, demonstrando uma forte melhoria
assim como um novo sistema de analise de pacotes e alguns outros recursos.
Mas nem tudo são flores, como foi um upgrade e a ideia era não tornar os
dispositivos que suportavam WEP obsoletos, com todas as mudanças o WPA
herdou muita coisa de seu antecessor tornando-o passivo a diferentes falhas
conhecidas porém exploradas de um modo diferente.

Ainda que não tão seguro o WPA proporciona uma maior segurança
comparado com o WEP, mas a quebra da senha ainda poderia ser realizada
através de um ataque de força bruta com wordlists direcionadas.

A quebra do WPA consiste na captura de HandShakes na rede. HandShake

é o “aperto de mão” entre um dispositivo e o roteador, processo ao qual o
usuário se autentica com uma senha correta e recebe o acesso ao ambiente.
Neste caso a captura é realizada externamente pelo atacante esperando um
usuário real se autenticar. Após capturado um HandShake válido o ataque
a senha ocorre de forma offline onde ele é comparado com diferentes
possibilidades de senhas através de ferramentas apropriadas.

Sem nos prolongar muito sobre a criptografia envolvida na comunicação

do WPA, falaremos posteriormente sobre o WPS, uma funcionalidade bem
interessante criada em 2006 com a promessa de facilidade na configuração
de novos dispositivos na rede, mas tal funcionalidade pode ter um impacto
negativo na segurança do WPA.

8
 Bem, os métodos de autenticação de senhas passaram do WEP para o WPA
e foi visto que uma migração de tecnologia sem tornar dispositivos obsoletos
pode ser um problema tendo em mente as possíveis falhas de implementação
herdadas. Então buscando um avanço significativo para a segurança foi
desenvolvido o terceiro protocolo: o WPA2.

2.3 WPA 2 - Wi-Fi Protected Access 2

Agora amparado por um conjunto completo de especificações de segurança
desenvolvido pela WiFi Alliance (IEEE 802.11i), o WPA2 veio com a promessa
de garantir integridade e maior segurança buscando evitar os vetores de
ataques anteriores.

O padrão agora possui criptografia AES (Advanced Encryption Standard) que

por implementação é bem mais segura que as anteriores porém exige um
maior processamento, o qual pode gerar um certo impacto no desempenho
de equipamentos mais fracos. O WPA2 diferente do antecessor, não era
compatível com todos os dispositivos que foram projetados para o WEP.

Sem entrarmos muito na questão de criptografia e tráfego, em comparação

com os protocolos de segurança vistos até então o WPA2 é o mais seguro
entre eles.

9
PROBLEMA DE SEGURANÇA
Assim como o WPA, a quebra do
WPA2 exige que o atacante esteja
posicionado próximo a rede wireless e
seja capaz de interceptar os pacotes
para a captura de um HandShake
válido. O processo da quebra se dá
da mesma forma que a anterior
envolvendo força bruta offline,
comparando os arquivos capturados
com uma wordlist de possíveis senhas.
Além dos protocolos de segurança,
em 2006 WiFi Alliance desenvolveu
uma tecnologia que prometia uma
rápida e fácil configuração de novos
dispositivos na rede, o chamado
WPS (Wifi Protected Setup). Tal
funcionalidade proporcionou (e
proporciona), uma experiência rápida
e prática na configuração mas que
pode comprometer toda a segurança
de um ambiente caso ativa e/ou
utilizada em equipamentos antigos.
10
2.4 Funcionalidade WPS - WiFi Protected Setup

Basicamente este recurso não é um protocolo e sim um padrão de segurança

onde permite que dispositivos sejam pareados na rede sem a necessidade de
inserção de senhas! Operando de forma simples o novo recurso ganhou público
e fãs pela praticidade na configuração e implementação de novos dispositivos
na rede.

Sua funcionalidade consiste em um PIN numérico de 8 caracteres e uma interface

fácil para configuração. Enfatizando: um PIN Numérico, de oito caracteres. Por
ser uma sequência numérica podemos imaginar que não demorou para surgir
problemas, uma sendo estático pelo aparelho não possibilitando a mudança,
não demorou para que brechas de segurança surgissem. Uma vez que um
atacante quebrasse o PIN, ele teria acesso a rede ainda que o administrador
realizasse a troca do SSID e chaves de segurança.

Outro ponto fundamental da perspectiva da segurança é que este PIN possui um

padrão de validação da parte do roteador através de tentativas mal sucedidas,
onde ele envia um pacote EAP-NACK. Este pacote permite que o atacante
descubra os 4 primeiros dígitos do PIN, restando apenas outros 4 para descobrir,
certo? Seriam 4, porém o último dígito é o checksum dos anteriores...

PROBLEMA DE SEGURANÇA

Ao enviar tentativas erradas o drasticamente de 1 bilhão para apenas

roteador envia um pacote EAP-
NACK, onde disponibiliza informações
dos 4 primeiros dígitos após uma
certa quantidade de tentativas mal
sucedidas. Sabendo dos 4 primeiros o
atacante precisará gerar uma wordlist
com os próximos 3 dígitos, validando a
sequência com o checksum final. Dessa
forma a quantidade de tentativas cai
algumas milhares, tornando o processo
viável a quebra com algumas poucas
horas de teste.
Normalmente o WPS pode ser
desabilitado do roteador, porém em
alguns casos mesmo marcando como
desativado a falha ainda persiste,
tornando possível explorá-la.

11
 Observação:

Em novos equipamentos o ataque ao WPS exige

uma engenharia social, o que torna o processo mais
complicado uma vez que submetido a intensos
testes ele é bloqueado. Dessa forma é necessário
que o alvo reinicie o aparelho para o atacante
conseguir submeter novos ataques. Existem meios
para forçar um reboot por parte do atacante, porém
não é aconselhado e nem sempre válido/funcional.

Mas afinal, qual é o melhor método de autenticação de

senhas para se utilizar?

Esta questão, falando de um ambiente empresarial, depende muito do estado

em que os ativos se encontram. Muitas vezes quando uma empresa possui
uma grande quantidade de dispositivos muitos deles podem ser antigos e não
suportar o padrão WPA2-PSK, levando então a configuração de uma rede mista.
Esta configuração permite que os dispositivos sejam compatíveis tanto com
WPA e WPA2, utilizando a criptografia TKIP e AES. O indicado é que sempre seja
utilizado equipamentos atualizados com a tecnologia mais recente disponível,
garantindo assim uma maior segurança para o ambiente.

Atualmente em 2020 já há em alguns modelos de roteadores atualizações para

a implementação do WPA3, o qual foi anunciado pela Wifi Alliance como sendo
uma tecnologia que superaria todas as anteriores com relação a segurança.
Porém, assim como o WPA recebeu uma herança do WEP, o mesmo ocorreu com
o WPA3 onde parte da implementação vem da bagagem do WPA2.

A questão na utilização do melhor ou pior é sempre partir para o protocolo e

dispositivo mais atualizado. Os fatores são diversos, mas uma vez que uma nova
tecnologia é lançada e aprovada pelo mercado os dias ficam contados para o
encerramento do suporte e manutenção da anterior tornando-a obsoleta.

12
 03
WIRELESS EM
AMBIENTES
EMPRESARIAIS
Nesta parte podemos segmentar o conteúdo em
dois principais pontos para explorarmos melhor os
vetores de cada alvo:

Ambiente Wireless para clientes, com rede

aberta;

Ambiente Wireless privado para funcionários

autenticados.

13
3.1 WiFi para Clientes e convidados - Captive Portal

Muitas pessoas passam uma boa parte do dia conectadas na internet, e é

definitivamente frustrante para muitos aguardar um período ocioso em um
estabelecimento sem a tão querida 3g. Visando o bem estar dos clientes,
muitas empresas vêm adotando a prática de rede aberta para os seus
usuários enquanto permanecem no estabelecimento. Esta prática se torna
muito eficaz com a utilização dos recursos de um Captive Portal.

Um “Portal Cativo” realiza a liberação automática de acesso WiFi através

de um processo pré estabelecido pela gerencia do ambiente. Funciona
basicamente assim: O usuário seleciona e conecta-se na rede aberta do
ambiente onde não é solicitado senha, mas em seguida ao tentar navegar
na internet (utilizando o navegador), o usuário é direcionado para a página
do Captive Portal para realizar a sua devida autenticação. O modo como o
usuário realizará a autenticação depende de com o Captive foi configurado,
porém dentes as mais comuns temos:

Checkin com Facebook, twitter e afins;

Usuário e senha de cadastros, por exemplo em universidades;
Senhas temporárias geradas pela recepção;
E os self service, onde informando alguns dados é recebido código de
ativação via e-mail ou sms.

Um exemplo de autenticação pode ser evidenciado na imagem abaixo:

14
Esta rede é um exemplo de como algumas instituições de ensino utilizam
seus portais cativos, onde para o acesso é necessário um cadastro prévio do
aluno, como o login no ambiente de estudos, e o mesmo pode ser utilizado
para acessar a internet aberta da instituição. A administração do portal
pode incluir diferentes regras de acesso, com isso o administrador poderá
definir diferentes parâmetros para os usuários se autenticarem e restringir as
limitações de acessos.

A princípio a tecnologia possui uma autenticação funcional, mas será que há

meios de realizar um bypass nestes métodos e acessar a rede ainda que o
usuário não tenha realizado as etapas esperadas de autenticação (como no
caso, um prévio cadastro)?

A resposta é sim!

O fato da utilização de redes abertas suprir um conforto pode custar caro

para quem utiliza os meios digitais para fins de negócios. Uma vez conectado
em uma rede “sem jurisdição”, qualquer usuário pode se autenticar a ela e,
não sabemos se estes usuários são pessoas utilizando-a para fins pessoais
aos quais ela foi inicialmente idealizada, ou se são agentes maliciosos
interceptando tráfego a espera da captura de uma informação importante,
como aplicações bancárias.

Vamos pensar em um cenário real para sentir o impacto! Imagine que um

agente mal intencionado quer muito comprometer uma determinada
empresa mas esta empresa é muito segura e investe pesado na segurança
(tanto física quanto digital). Eventualmente ele descobre que um importante
funcionário dela se hospedará em um determinado hotel. Então este agente
mal intencionado poderá preparar diferentes formas de atacar o funcionário,
caso o mesmo se autentique na rede aberta.

Na menor das hipóteses caso o funcionário realize a autenticação e passe a

utilizar os recursos da rede, o atacante poderá interceptar seus dados e obter

15
alguma informação. Já na pior das hipóteses o atacante através de técnicas
de engenharia social poderá induzir o funcionário hóspede ao download de
arquivos maliciosos como uma backdoor infectando assim o seu dispositivo.
Este seria um dos piores cenários literais de um “Cavalo de Tróia”, onde um
funcionário pode estar levando literalmente para dentro de um ambiente
seguro um dispositivo infectado, com poder de comprometer toda a segurança
de dentro para fora.

Entramos então num tema interessante, as redes enterprise com um alto

teor de segurança!

Em redes empresariais o nível de segurança exigido é relativamente maior

em comparação a redes domésticas ou públicas, visto a importância e valor
de seus ativos. A implementação de servidores RADIUS para a autenticação
é bem vista nestes meios, agregando um maior controle no acesso de
dispositivos.

16
3.2 RADIUS

RADIUS (Remote Authentication Dial In User Service), de um modo fácil de

entender seria uma protocolo de autenticação de pergunta e resposta entre
o servidor RADIUS e o dispositivo onde é realizado uma validação de sua
identidade.

Com base nisso, temos os seguintes elementos:

Cliente: Dispositivo que deseja acessar um determinado recurso na rede.

NAS (Network Authentication Server): Dispositivo que recebe o pedido

do cliente, responsável por encaminhar a solicitação pro RADIUS e
devolver a resposta para o cliente.

Servidor RADIUS: Servidor que valida o pedido do NAS, onde a resposta

pode ser positiva onde como retorno é encaminhado uma tabela com
parâmetros de respostas, ou negativa (onde não é acompanhada de
nada, apenas rejeita o pedido).

Mas como isso funciona?

1. O dispositivo envia uma requisição para a roteador;

2. O roteador recebe a requisição de acesso e encaminha ao servidor RADIUS
3. O servidor RADIUS encaminha uma resposta ao roteador aceitando ou não o
dispositivo;
4. O roteador wireless irá aceitar ou negar, conforme resposta do servidor
RADIUS.

17
A segurança envolvida neste processo é alta visto que a variedade de regras
de aceitação do servidor RADIUS que determinam o acesso do dispositivo
a rede. As solicitações entre o servidor e cliente são autenticadas através
de um Shared Secret (segredo compartilhado) conhecido previamente tanto
pelo RADIUS quanto pelo cliente, o qual nunca trafega pela rede. Com isso as
senhas são criptografadas para evitar que dados sejam coletados por um
agente mal intencionado que possa estar interceptando o tráfego.

O nível de segurança irá depender estritamente das configurações

implementadas no servidor RADIUS e aceitas na rede. Ainda sendo um
processo considerado seguro, há alguns fatores que podem comprometer
o ambiente, como a questão de engenharia social em colaboradores com
dispositivos autenticados no momento.

18
 04
ENGENHARIA
SOCIAL
TÉCNICAS INVASIVAS

Uma das possíveis formas de obter acesso a uma

rede considerada segura e completa (independente
de sua arquitetura ou método de autenticação), é
através de engenharia social. Há diferentes técnicas
envolvidas que podem ser utilizadas para atacar
ambientes e burlar os mecanismos de segurança,
fazendo as regras entenderem que o dispositivo
externo é de fato um conhecido e confiável da rede.

A exploração de sistemas considerados seguros

vai além de apenas explorar uma vulnerabilidade
de software conhecida, pois muitas vezes o
protocolo e as regras de implementações podem ser
consistentes a ponto de não sairmos do ponto de
origem. Em implementações RADIUS nos ambientes
corporativos, podemos explorar algumas dessas
técnicas (legalmente, estamos falando sobre
Pentest é claro).

Um exemplo clássico (e básico) para demonstrar o

impacto de uma engenharia social é a utilização de
um Evil Twin.

19
4.1 Evil Twin

Evil Twin, ou Rogue AP é uma técnica muito interessante, ainda que simples,
mas funcional dependendo do nível de configuração e meios disponíveis no
momento. Consiste na criação de uma rede falsa com configurações “iguais”
a rede real do alvo.

Ao criarmos uma rede falsa, a configuração envolvida em nosso dispositivo

irá gerenciar todo o fluxo de quem nela se conectar. Já podemos sentir o
impacto disso caso um colaborador pense que esta rede falsa é de fato uma
rede real da empresa, correto?

Correto...

Para este cenário funcionar vamos imaginar o fluxo de uma grande empresa.
Nesta grande empresa existem diferentes Access Point espalhados onde há
o roaming de dados. Nem sempre o funcionário ficará no mesmo local, ou
mesmo ficando poderá existir um ou mais sinais válidos em que ele poderá se
autenticar! Normalmente o processo é automático durante o roaming... Ok...
Mas e o Evil Twin? Você, tendo dois possíveis pontos de acesso conhecido,
sabendo que poderá se conectar em qualquer um deles, irá escolher qual?
Exato, o que possui o sinal mais forte!

Mas o que fará com que o usuário escolha o SEU Access Point ao invés do
real? Bem, esta pode ser uma questão de Deauth. Uma vez que podemos
ficar desautenticando o usuário do acesso real, ele irá acessar o falso e ver
que as quedas na internet pararam, com isso automaticamente adotará o
ponto de acesso do atacante como o melhor.

20
Abaixo podemos ver um ciclo de como o ataque ocorre:

1. O usuário está autenticado, então o atacante envia um Deauth e

desconecta-o;
2. O usuário verifica o SSID da rede dele (porém o falso) e realiza o login
3. O atacante passa a interceptar o tráfego do usuário e se bem
configurado, direciona-o a fim de não levantar suspeitas.

Entre diversas técnicas, a engenharia social bem aplicada em um cenário

projetado pode surtir um ótimo efeito durante os testes em um ambiente
Wireless. Este é um exemplo simples, porém com boas configurações o
processo pode se tornar invisível diante o usuário que sequer saberá o que
realmente ocorreu.

Em um cenário mais avançado, é possível levar o acesso ainda além!

Imagine que o atacante já possui acesso a rede e já está em posse de dados

sensíveis, porém ainda assim ele precisa de um acesso privilegiado a outro
determinado local onde apenas alguns usuários são autenticados. Uma vez

21
com acesso a rede, ele poderá configurar a rota de sua rede falsa para a rede
real da empresa! Assim todos os colaboradores que se conectarem na rede
falsa estarão usufruindo de recursos da rede interna da empresa, tornando o
processo transparente e dificilmente perceptível.

Até aqui já podemos ter uma boa noção de diferentes aspectos sobre testes
em redes Wireless, como: Autenticações, redes abertas, interceptação de
tráfego, e um overview sobre redes corporativas, redes com alto teor de
segurança.

Mas o que se faz em um Pentest quando é obtido um acesso não autorizado

na rede? Acabou? Não necessariamente.

É aí, na verdade, que o serviço começa.

22
 05
PÓS
EXPLORAÇÃO
Se a exploração é considerada importante para
identificar as fraquezas de acesso ao ambiente,
a pós exploração determinará o quanto essas
fraquezas poderão afetar o seu negócio.

A questão da pós exploração é identificar até qual

ponto um ambiente poderá ficar exposto, porém isso
dependerá de cada caso. A pergunta que devemos
fazer neste ponto é: Até onde é possível chegar?

Após obter acesso não autorizado a uma rede o

serviço de pós exploração consiste em analisar o
ambiente interno, identificar hosts ativos, portas
e serviços abertos, analisar suas versões... Enfim,
realizar um mapeamento completo do ambiente
para entender como o mesmo funciona e quais
são os principais serviços ativos que podem ser
comprometidos.

Um dos melhores scanners de rede para auxiliar

neste processo é definitivamente o Nmap
(https://nmap.org)!

23
Existem diferentes funcionalidades possíveis a ser exploradas com ele, como:

Descoberta de dispositivos ativos na rede;

Identificação de portas TCP e UDP (abertas e filtradas);
Identificação de serviços e versões;
Enumeração específica por um determinado dispositivo/serviço (ou um
scan completo na rede possibilitando a segmentação conforme desejado,
como /24 e afins)...
Scripts automatizados de vulnerabilidades, entre outros.

Assim que o ambiente é mapeado e novos hosts são identificados, as

possibilidades de ataques podem variar de diferentes formas dependendo
do que foi encontrado. A descoberta de serviços vulneráveis pode ser
automatizada com funcionalidades dos scripts NSE.

Abaixo estamos utilizando uma distribuição Linux, o Kali, onde contempla

diversas ferramentas de exploração ofensiva incluindo o nmap e seus scripts.

Podemos verificar alguns dos scripts disponíveis:

24
Cada script possui suas configurações e funcionalidades, onde os mesmos
exigem parâmetros específicos para a exploração. A identificação desses
parâmetros e modo de uso pode ser explorada na leitura dos mesmos, onde
é explicado como cada um deve ser utilizado (por exemplo passando uma
porta, ou um caminho específico do alvo).

Realizando um scan é visto que o alvo possui a porta 445 aberta, trata-se de
um smb:

25
Sabendo que há um SMB no host identificado, podemos procurar através de
filtros scripts direcionados ao smb:

Utilizando um script específico para análise, vamos pegar o “smb-os-discovery.

nse” como exemplo. Este script exige apenas um parâmetro: a porta alvo!

Observação:
Podemos apenas executar o script sem passar a porta,
porém o nmap irá realizar um novo scan para identificar
se de fato há a porta 445 aberta, o que poderá demorar
e é desnecessário uma vez que já temos a certeza de
que a porta 445 está no estado “open”.

26
Como resultado obtemos várias informações relevantes do host, identificadas
pelo script.

Este foi apenas um exemplo do poder que os scripts NSE nos proporcionam.
Existem diferentes outros scrips relacionados a vários serviços, possibilitando
o teste em variados cenários. É essencial que um profissional de segurança
saiba explorá-los, uma vez que a má configuração ou a versão utilizada possa
ser passível de vulnerabilidades conhecidas.

No geral como resumo, podemos definir que a pós exploração consiste no

mapeamento da rede interna e exploração dos alvos encontrados, como:

Identificação de hosts ativos no ambiente;

Serviços ativos e suas versões, visando a busca de vulnerabilidades
conhecidas;
Exploração através de exploits públicos e/ou privados;
Comprometimento interno de ativos aos quais não são atingíveis pela
rede externa.

Como base fundamental, vemos que não basta apenas quebrar a senha e
acessar a rede, e sim o que pode ser feito e o quão um ambiente pode ser
comprometido através de um acesso indevido.

27
 06
PENTEST
EM REDES
WIRELESS

Garantir a segurança em um ambiente Wireless

é fundamental, pois o mesmo pode ser um vetor
de entrada para um comprometimento total do
ambiente empresarial. Neste ponto os pilares da
segurança da informação devem ser mantidos,
visando manter a disponibilidade, integridade
e confidencialidade de todas as informações
envolvidas.

Para tal, existem profissionais de segurança da

informação que atuam diariamente para garantir
que estes pilares sejam sólidos. Dentre as inúmeras
áreas de atuação da segurança temos o Pentester:
o profissional que ataca.

Em um ambiente todos os setores de segurança são

essenciais e tem a sua importância, mas falando
sobre um agente mal intencionado, o Pentester
pode ter vantagens sobre as outras áreas.

28
6.1 O PENTESTER

Pentester é o chamado “Hacker Ético”, o qual possui habilidades avançadas em

ambientes digitais que o possibilitam realizar ataques assim como um agente
mal intencionado.

Implementar diferentes métodos para garantir a segurança é essencial, e cabe

a segurança defensiva tal tarefa. Porém após implementado é altamente
aconselhado manter uma política de testes, e a melhor maneira de prover tais
testes é simulando ataques reais como se realmente alguém mal intencionado
desejasse burlar todos os mecanismos anteriormente implementados pelos
setores de segurança!

29
 07
CARREIRA EM
SEGURANÇA
OFENSIVA
Quando é mencionado o termo “Hacker”, a maioria
das pessoas associa a algo ruim devido a repercussão
que há na mídia sobre ataque mal intencionados.
De fato, um agente mal intencionado também é um
Hacker...

Mas quais são as reais diferenças?

Um hacker ético é chamado de White Hat, onde

atua sozinho ou através de uma empresa (como a
Desec Security, empresa de segurança ofensiva), e
seus ataques a algum ambiente são previamente
estabelecidos em contato com o cliente e diante
contrato. Além de contrato há também cláusulas
de confidencialidade das informações, com isso o
hacker ético é proibido legalmente (e moralmente)
de disponibilizar qualquer informação encontrada
durante os seus testes. As etapas de um Pentest
(um ataque ético), são as seguintes:

30
 A empresa solicita os serviços do Pentester, e é
marcado uma reunião;
Nesta reunião é definido o objetivo do teste, e
quais são as expectativas da empresa diante
ele (por exemplo, a empresa pode querer validar
se através da rede Wifi um atacante pode ter
acesso a um dos servidores de funcionamento
interno);
Após levantado as expectativas, é definido o
escopo: Quais partes do ambiente podem ser
atingidas com o ataque.
Em seguida o contrato é redigido com tais
informações, contendo as obrigações do
Pentester e suas limitações;
E por fim (juntamente com o contrato formal),
há um “contrato” de confidencialidade, onde
o profissional se compromete por vias legais
de que toda informação coletada ficará em
sigilo. Tal cláusula está sujeita a multa caso
descumprimento por parte do profissional.

Já um Hacker não ético são os chamados Black

Hat ou Crackers, cuja finalidade também é
atacar sistemas, porém de forma ilegal e sem
contato algum com os responsáveis do ambiente
alvo. Tais explorações visam a coleta da maior
quantidade de dados sigilosos possíveis do alvo
a fim de vendê-los em mercados clandestinos. Tal
mercado é alimentado diariamente com bilhões
de dados provenientes de ações ilegais, onde os
mesmos podem ter um impacto gigantesco sob
a empresa alvo onde muitas vezes pode levá-la
a falência, seja pelas fraudes possíveis ou pelo

31
 segredo de negócio revelado de seus processos
internos diante a concorrência. As etapas desse
processo basicamente se baseiam em atacar
um alvo, e posteriormente direcionar a venda de
informações de modo ilegal no mercado negro.

A questão de ataques ilegais sempre existiu e sempre

existirá, mais ainda nos dias de hoje com diferentes
processos críticos e essenciais conectados na rede e
dependentes de recursos tecnológicos.

A Desec Security é uma empresa especialista em

segurança ofensiva com diversos clientes e profissionais
pentesters atuando diariamente para garantir uma
maior segurança dos ambientes através da identificação
de falhas. O fato de uma empresa utilizar a segurança
ofensiva como aliada não a torna totalmente segura,
porém diminui drasticamente os riscos de um Agente
mal intencionado performa ataques e identificar algo
crítico, visto que previamente um hacker ético conseguiu
a tempo identificar o vetor de ataque, mitigando assim
os riscos de um comprometimento futuro. Com isso o
pentest é altamente indicado, porém o processo deve ser
constante, pois o mercado negro não tira um dia de folga.

32
7.1 COMO POSSO ME TORNAR UM PENTESTER?

Pode parecer algo de filmes de ficção, onde o processo de ataque ocorre

de forma espetacular e glamurosa, com diversas telas coloridas e linhas
de comando subindo a todo o instante... Mas na vida real o processo é
um pouco diferente. Dentre inúmeras habilidades requisitadas para iniciar
a carreira em pentester, a curiosidade, dedicação e vontade de entender
como uma tecnologia funciona são as principais!

A Desec Security além de atuar com segurança ofensiva prestando

diversos serviços de Pentest para empresas de diferentes portes, privadas
e governamentais, disponibiliza também treinamentos direcionados para
a segurança ofensiva!

Como finalidade, temos o objetivo de explicar de forma detalhada e precisa

como as coisas funcionam. Não basta apenas ver um tutorial de como a
ferramenta X funciona e sair executando comandos, isso não irá lhe tornar
um Hacker.

O que difere um profissional de um amador, é a essência em entender

como o processo realmente funciona. Uma vez que realizado um ataque a
um alvo apenas executando coisas sem saber o que elas realmente estão
fazendo (e o por que), além de ser muito provável que não seja identificado
falhas, o ambiente alvo pode sofrer uma drástica instabilidade e/ou até
mesmo indisponibilidade, causando transtornos e até mesmo passe uma
imagem negativa do “profissional”, visto seu pouco background técnico.

Visando superar todas as necessidades e limitações, possuímos

treinamentos direcionados que irão lhe auxiliar em cada etapa, desde
bases essenciais a técnicas avançadas, as quais poderão ser aplicadas em
ambientes reais sabendo exatamente o por que e como tal ferramenta
funciona. Além disso, focamos no “mindset hacker”, o modo de pensar!
Com isso a criação de suas próprias ferramentas de análises é cobrada, e
temos a certeza de que nossa metrologia lhe capacitará para tal.

33
Existem diferentes ramificações na atuação de segurança ofensiva, e o
Pentest em Ambientes Wireless é apenas uma delas!

Com isso, convidamos você para conhecer o treinamento de

segurança ofensiva em redes Wireless!

E lembre-se empreendedor ou colaborador: um White Hat e um Black Hat

possuem os mesmos níveis de habilidades, é apenas uma questão de lado
na atuação, alguns escolhem o caminho do bem e outros optam pelo
crime, e por experiências de grandes profissionais que já passaram pelo
lado negro, todos foram pegos ou pagaram um preço alto (porém não
os impediu de causar grandes estragos em diferentes instituições antes
disso).

Finalizando, o serviço de segurança ofensiva vem sendo muito solicitado

nos últimos anos e a perspectiva de crescimento é gigantesca diante nosso
cenário digital atual em constante expansão. Com certeza é uma carreira
promissora para todos que gostam e pretendem seguir!

Venha fazer parte desse futuro conosco!

Garantimos que a sua qualidade de ensino não
deixará a desejar diante o mercado real.

Keep Learning,
Desec

contato@desecsecurity.com
www.desecsecurity.com

34