Uma Introdução à Análise de

Vulnerabilidades e Pentest

Bernardo Bensusan
Elise Cieza
Bernardo Bensusan Elise Cieza

o Consultor na EY. o Consultora na EY.

o + 4 anos de o 1 ano de
experiência com experiência com
SI. SI.
o Certificações: o Mestrado em
o CEH Ciência da
o ISO 27002 Computação na
o LPIC UFF.
AVISO:

As opiniões e reflexões aqui expostas são de

responsabilidades dos autores e não refletem
a opinião de seus empregadores.
Agenda
1. Introdução
2. Motivação
3. Análise de Vulnerabilidade
4. Pentest
5. Hacker Ético
Introdução
 TESTE DE
INTRUSÃO
ANÁLISE DE
VULNERABILIDADE TESTE DE INVASÃO

VULNERABILITY
TESTE DE
ASSESSMENT
PENETRAÇÃO

VULNERABILITY SCAN
PENETRATION TEST
PENTEST
VULNERABILITY ANALYSIS
Motivação
 Resultados de Pesquisa

597,9 K

Análise de Vulnerabilidades 3,9M

1,7M

421,8 K

Teste de Invasão 2,9M

1,1M
 Análise de Vulnerabilidade Vs.
Valor Médio de Resultados de Análise de Vulnerabilidade e Pentest
Pentest
3,5

3,4M
3

2,5

2
Milhões

1,5 1,4M

509K
0,5
105K
105K
0
 Tema que Tema ainda é
gera dúvida pouco
Hot Topics explorado
Análise de Vulnerabilidade
Escopo
Escopo

Planejamento Scan de
Reportar
Vulnerabilidades
O que esperar do resultado de uma Análise de
Vulnerabilidade?
É esperado... Não é esperado...

 Saber qual o nível de × Que as

exposição dos ativos vulnerabilidades
analisados sejam exploradas
 Saber quais são as × Que sejam
vulnerabilidades mais identificadas novas
críticas vulnerabilidades
 Abrangência. × Conduta Antiética.
Teste de Invasão
Objetivos
 Objetivos
Nova Informação

Obtenção de Acesso

Escalação de Privilégios
Levantamento Definir cenários
de de ataques Exploração
Informações Enumeração de Informações do Ativo
Comprometido

Manutenção do Acesso

Reportar
O que esperar do resultado de um Teste de
Invasão?
É esperado... Não é esperado...

 Um atacante externo × Abrangência

não explore mais a × Que os objetivos sejam
vulnerabilidade sempre alcançados
reportada × Conduta Antiética.
 Entender como os
objetivos do teste
foram alcançados.
Análise de Vulnerabilidade Teste de Invasão

Existe um escopo acordado a ser avaliado. Existem objetivos a serem alcançados

Identificar as vulnerabilidades, classificar e Explorar vulnerabilidades de forma a atingir

reportar. objetivo.

Realizada periodicamente. Realizado pontualmente.

Atividade manual, depende do conhecimento

Atividade que pode ser automatizada.
técnico do profissional

Relatório com descrição de cada

Relatório com lista das vulnerabilidades
vulnerabilidade, dos riscos e como foi
detectadas e classificadas por criticidade.
explorada.
Hacker Ético
Hacker Ético Como?

“...são geralmente Revisão de

Análises de
profissionais de código fonte
vulnerabilidades
segurança que usam
suas habilidades e
ferramentas com
propósito de segurança Teste de
Invasão
e defesa…”
Por quê as
empresas
contratam os
serviços do hacker
ético?
• Qualidade nos serviços
• Perspectiva dos pontos fortes e pontos
fracos
• Otimização do investimento em medidas
de segurança
• Identificar se ativos estão protegidos
adequadamente
• Identificar a capacidade de resposta e
detecção da empresa
• Atender a requisitos legais (exemplo: PCI).
O que é Ética?

 Etimologia: Ethos - Bons costumes

 “Ética é a investigação geral sobre aquilo que é bom.”
 “A Ética tem por objetivo facilitar a realização das pessoas.
Que o ser humano chegue a realizar-se a sí mesmo como
tal, isto é, como pessoa. (...) A Ética se ocupa e pretende a
perfeição do ser humano.”
Ética (ou bons costumes)
A Ordem dos Advogados do Brasil
possui um código de ética.
Médicos, na ocasião de sua
formação, fazem o juramento de
Hipócrates.
Contadores possuem código de ética
próprio.
 Ética (ou bons costumes)
A Ordem dos Advogados do Brasil
possui um código de ética.
Médicos, na ocasião de sua
formação, fazem o juramento de
Hipócrates.
Contadores possuem código de
ética próprio.
E os hackers éticos?
 Código de ética
do ISC2
Compilação de
princípios e
regras para a
atuação do
hacker ético
Experiência
profissional dos
palestrantes
Autorização
Na ausência de autorização prévia configura-se crime, conforme
Art. 154-A do Código Penal Brasileiro, acrescentado pela Lei nº
12.737 de 30 de novembro de 2012:
Art. 154-A. Invadir dispositivo informático
alheio, conectado ou não à rede de
computadores, mediante violação indevida de
mecanismo de segurança e com o fim de obter,
adulterar ou destruir dados ou informações sem
autorização expressa ou tácita do titular do
dispositivo ou instalar vulnerabilidades para
obter vantagem ilícita:

Pena - detenção, de 3 (três) meses a 1 (um)

ano, e multa.
Confidencialidade
Assinatura de Non Disclosure Agreement (NDA) ou
Termo de Confidencialidade

Incluem cláusulas como: não divulgação de dados; proibição de cópia da

informações; proibição de uso de know-how adquirido etc.

As informações obtidas não devem ser utilizadas para benefício próprio.

Transparência

Accountability - dever de prestar contas

Ter registro das atividades realizadas

Admitir erros cometidos

Envio de status diários.

Postura profissional

Evitar fazer check-ins, ou tirar fotos no

ambiente do cliente
Ser imparcial ao relatar/comentar resultados.
Precisão

Ater-se ao escopo acordado

Coletar evidências durante o teste
Relatórios apurados:
 Quantas senhas foram obtidas
 Quais usuários foram utilizados
 Quais sistemas foram acessados
 Quais endereços IPs foram utilizados.
Considerações Finais
 Material elaborado com
Referências base na experiência
utilizadas no final dos palestrantes e as
do material referências

Obrigado!

É uma introdução
ao tema de Análise
de Vulnerabilidade e
Pentest
 Uma Introdução a Análise de
Vulnerabilidades e Pentest

Bernardo Bensusan
blanzab@gmail.com
Dúvidas?

Elise Cieza
Elise.Cieza@gmail.com
1. Understand the Types, Scope and Objectives
of Penetration Testing, Gatner, Fevereiro de
2016.
2. Penetration Testing Guidance, PCI Security
Standards Council, Março de 2015.
3. NIST SP800-115, 2008.
4. https://www.isc2.org/uploadedfiles/landing_
pages/brazil_forms/coe000.8r_code%20of%2
0ethics.pdf, ISC2.
5. https://www.isc2.org/ethics-complaint-
procedures.aspx, ISC2.
6. http://ethics-wg.org/framework.html, Ethics
Working Group.
7. https://www.ufrgs.br/bioetica/etica.htm
8. http://www.eripi.ufpi.br/images/Minicursos/
minicurso06.pdf
9. http://www.oab.org.br/visualizador/19/codig
o-de-etica-e-disciplina
10. Resolução CFC nº 803 de 10/10/1996
11. http://www.eripi.ufpi.br/images/Minicursos/
minicurso06.pdf