Issuu on Google+


Marco Aurélio Thompson

Curso de Hacker Profissionalizante (Formação do Analista de Vulnerabilidades) Pentest - Vol. 1: Teoria 2ª Edição

Editora do Autor www.editoradoautor.com.br 2015


Copyright © 2012-2015 da ABSI – Associação Brasileira de Segurança na Internet Thompson, Marco Aurélio Curso de Hacker Profissionalizante (Formação do Analista de Vulnerabilidades) Pentest - Vol. 1: Teoria / Marco Aurélio Thompson. — 2. ed. — Salvador: ABSI Associação Brasileira de Segurança na Internet, 2015. ISBN: 978-85-98941-20-2 1. Computadores - Segurança 2. Hackers de computadores 3. Internet (Rede de computadores) 4. Redes de computadores - Medidas de segurança I. Título

Índices para catálogo sistemático: 1. Internet: Invasões: Medidas de Segurança: Ciência da computação 005.8 2. Invasões: Internet: Medidas de Segurança: Ciência da computação 005.8

Todos os direitos reservados. Proibida a reprodução total ou parcial, por qualquer meio ou processo, sem autorização expressa do autor. A violação dos direitos autorais é punível como crime com pena de prisão e multa, conjuntamente com busca e apreensão e indenizações diversas (cf. Art. 184 e parágrafos do Código Penal, alterações da Lei 10.695/2003 e Lei 6.910/98, Lei dos Direitos Autorais). O autor e o editor acreditam que as informações aqui apresentadas estão corretas e podem ser utilizadas para qualquer fim legal. Entretanto, não existe qualquer garantia, explícita ou implícita, de que o uso de tais informações conduzirá sempre ao resultado desejado. Os nomes de sites e empresas porventura mencionados foram utilizados apenas para ilustrar os exemplos, não tendo vínculo nenhum com o livro, não garantindo sua existência nem divulgação. Eventuais erratas estarão disponíveis no site do autor (http://MarcoAurelio.Net). O autor também se coloca à disposição dos leitores para dirimir dúvidas e discutir ou aprofundar os assuntos aqui tratados, por qualquer meio de comunicação disponível.

Editora do Autor: Curso de Hacker: Prof. Marco Aurélio Thompson:

http://www.editoradoautor.com.br http://www.cursodehacker.com.br http://MarcoAurelio.Net professor@marcoaurelio.net


ADVERTÊNCIA As informações contidas nesta obra são fruto da experiência do autor e também das pesquisas realizadas na rede mundial de computadores (Internet) e consulta a Biblioteca Hacker da ABSI. É um livro para iniciantes nos estudos de segurança da informação e as explicações foram distribuídas em dois volumes, um de teoria (este volume) e um de prática (o volume 2) que substitui o caderno de exercícios e pode ser adquirido separadamente. Acreditamos que a divulgação das falhas de segurança das redes e da Internet é uma forma de contribuir para o aumento da segurança da informação. Não concordamos em pagar por produtos – softwares - e serviços experimentais vendidos como produtos acabados, nos obrigando a pagar indefinidamente também pelas correções. Somos os beta testers da indústria de software e ainda pagamos por isso. Entendemos que as vulnerabilidades são falhas de produtos e serviços, cabendo aos fabricantes de software a responsabilidade pela correção. Hackers não fabricam sistemas operacionais e nem são funcionários dos fabricantes. Hackers não criam falhas, mas exploram as existentes. Hackers são agentes oportunistas. Às vezes usados como bode expiatório, com o objetivo de desviar a atenção sobre os (ir)responsáveis que lançam novos produtos, sem a realização de todos os testes necessários. O estudo das técnicas descritas nesta obra são exclusivamente para fins de pesquisa acadêmica, uso pessoal e/ou desenvolvimento profissional. O uso indevido destas informações pode infringir a legislação vigente e ter consequências legais. Insistimos que você só reproduza os exemplos no ambiente controlado das máquinas virtuais ou em redes e computadores da sua propriedade, contas e IPs sob sua responsabilidade ou quando expressamente autorizado. Não nos responsabilizamos pelo mau uso destas informações. Se em alguma parte deste livro frase, palavra, parágrafo, imagem ou expressão, sugerir o incentivo à prática de ato ilícito, por favor desconsidere a informação e entre em contato conosco para revisarmos o texto. Embora a Constituição Federal em seu Artigo 5º nos garanta a liberdade de expressão, não dá aos nossos leitores, clientes e alunos o direito de cometer atos ilícitos a partir das informações contidas em nosso material. O direito ao saber não inclui o direito ao fazer. Todas as práticas poderão ser realizadas legalmente se você seguir as instruções contidas neste material. Em caso de dúvida sobre alguma situação não prevista no livro, por favor entre em contato conosco.

Prof. Marco Aurélio Thompson


Sobre o DVD-R que acompanha este livro

Este livro-curso na versão impressa é acompanhado de: 

01 DVD com videoaulas, softwares e alguns brindes (videoaulas, PDFs, etc.)

O DVD que acompanha este livro-curso é parte integrante deste programa de treinamento e é gratuito, não é vendido separadamente. Além do material principal, incluímos alguns vídeos, PDFs e softwares de nossa autoria ou que possuam autorização para distribuição gratuita, como as versões freeware, adware, opensource, shareware, demo(ware), trial(ware), crippleware, freemium, postcardware (cardware), careware, General Public License (GPL ou Licença Pública Geral), Creative Commons (CC), Domínio Público e similares. Não inclui sistemas operacionais, abandonwares ou softwares comerciais. Na elaboração deste livro optamos pelo uso das versões gratuitas dos softwares, mas algumas destas versões tem limitações e se na busca por resultados você necessitar da versão comercial da ferramenta (software), deverá adquiri-la diretamente com o fabricante. Não comercializamos nem distribuímos softwares que não sejam os autorizados. AVISO IMPORTANTE: A versão digital deste livro não inclui qualquer material extra.


Sobre o autor (Quem é esse cara?)

Marco Aurélio Thompson é hacker ético profissional e escritor. Consultor pelo SEBRAE, atual presidente da Associação Brasileira de Segurança da Informação (ABSI), dirigente da Sociedade Brasileira de Educação para o Trabalho (SBET), diretor da Escola de Hackers, conteudista do Pronatec1, escreve sobre hacking desde 2002 e é o autor de mais de trinta livros relacionados à segurança da informação, o que o torna o maior escritor hacker do Brasil. Seus livros sobre Windows Server 2008 R2 e Windows Server 2012 R2 lançados pela Editora Érica-Saraiva, durante mais de dois anos foram os únicos disponíveis sobre o assunto em língua portuguesa. Aliás, em janeiro de 2015 ainda não havia registro na Biblioteca Nacional de livros sobre o Windows Server 2012 R2, o que só comprova seu vanguardismo. É graduado em Pedagogia (Licenciatura), Pós-graduando em Psicopedagogia, acadêmico do Bacharelado em Sistemas de Informação, acadêmico do Bacharelado em Administração de Empresas e acadêmico da Licenciatura em Letras Vernáculas pela Universidade Salvador (UNIFACS). É um dos mais antigos hacker-phreaker brasileiro, com registro das primeiras atividades phreaking em 1986, ainda adolescente. Após um período de inatividade retornou em 1995 realizando invasões em sistemas BBS2 e outros sistemas públicos via modem. Entre eles o da Companhia Telefônica do Rio de Janeiro, a antiga Telerj, ex-Telemar e atual Oi, em uma época em que esta atividade não era criminalizada e os dados trafegavam a 0,0003 Mbps. “(...) porque pelo fruto se conhece a árvore.” Mateus 12.33

1

PRONATEC é o Programa Nacional de Acesso ao Ensino Técnico e Emprego e é mantido pelo Governo Federal. 2 BBS ou Bulletin Board System era um sistema de gerenciamento acessado via modem e linha telefônica comum. Os sistemas BBS forneciam serviços de FTP, e-Mail, quadro de avisos, repositório de programas, tal como se faz hoje com a Internet. A Internet comercial chegou ao Brasil no final de 1995 e acabou substituindo os sistemas BBS.


Hacker (pronúncia3) (Ing. /réquer/) s2g. 1. Inf. especialista em programas e sistemas de computador que, por conexão remota, invade outros sistemas computacionais, normalmente com objetivos ilícitos. [Algumas empresas contratam hackers para trabalhar na área de segurança.] [Cf. cracker.] Fonte: AULETE, Caldas. Aulete Digital: o dicionário da língua portuguesa na internet. Rio de Janeiro: Lexikon, 2014. Disponível em: <http://www.aulete.com.br/hacker>. Acesso em: 20 agosto. 2015.

Hacker (definição clássica) [Ingl. , substantivo de agente do verbo to hack, ’dar golpes cortantes (para abrir caminho)’, anteriormente aplicado a programadores que trabalhavam por tentativa e erro.] Substantivo de dois gêneros. 1. Inform. Indivíduo hábil em descobrir falhas em sistemas de computação, podendo usar este conhecimento para o bem ou para o mal. Fonte: FERREIRA, AURÉLIO B. H. (Brasil). Novo Dicionário Eletrônico Aurélio versão 5.0. Curitiba: Positivo Informática Ltda., 2004.

3

O dicionário Michaelis também registra a pronúncia /réker/ grafando K em vez do QU conforme pode ser visto em http://michaelis.uol.com.br/moderno/portugues/index.php?lingua=portuguesportugues&palavra=hacker. Apesar de a pronúncia /ráker/ também estar correta nós optamos por usar /réker/ em nosso material.


Sumário

Introdução: Sua nova profissão: Hacker Ético Profissional ou Analista de Vulnerabilidades (O Pentester), 9

Capítulo 1: Segurança da Informação para negócios, emprego e renda, 39

Capítulo 2: Visão geral do teste de penetração (O Pentest), 57

Capítulo 3: O mínimo que você precisa saber sobre portas e protocolos, 75

Capítulo 4: O mínimo que você precisa saber sobre TCP/IP e Modelo OSI, 81

Capítulo 5: O mínimo que você precisa saber sobre endereçamento IP e DNS, 87

Capítulo 6: O mínimo que você precisa saber sobre redes e Internet, 95

Capítulo 7: O mínimo que você precisa saber sobre sistemas operacionais e servidores, 121

Capítulo 8: O mínimo que você precisa saber sobre e-commerce e banco de dados, 137


Conclusão: Como trabalhar como Pentester, 149

ANEXOS (no DVD): A - Lista das portas mais comuns e os serviços relacionados. B - Modelo de Política de Segurança da Informação. C - Metodologia OSSTMM para Teste de Segurança em Ti. D - Estudo comparativo de metodologias de pentests. E - OWASP TOP 10. F - OSSTMM 3 (manual oficial em inglês). G - Webliografia.

Nota: O material dos anexos está no formato PDF na pasta Anexos do DVD que acompanha este livro-curso. Totaliza aproximadamente 400 páginas de informações úteis relacionadas à pentest. Apenas o manual OSSTMM 3 está em inglês, mas a leitura é opcional. A Webliografia está na mesma pasta Anexos, com diversos links de sites que você poderá usar para praticar pentest.


Prof. Marco Aurélio Thompson

Introdução: Sua nova profissão: Hacker Ético Profissional ou Analista de Vulnerabilidades (O Pentester). Existe uma necessidade na sociedade capitalista que todos nós precisamos suprir: a necessidade de gerar renda. Se você for como eu e a maioria das pessoas não herdou dinheiro de parente, não ganhou dinheiro em jogos e loterias e não pertence a família rica. Precisa encontrar uma forma lícita para gerar renda e conquistar a independência financeira. Não se trata só de encontrar, mas também de reencontrar uma fonte de renda. Com estas mudanças socioeconômicas e as novas tecnologias, muita gente está perdendo o emprego ou o emprego naquela função está deixando de existir. Até quem está empregado se preocupa com o porvir. O que posso dizer é que todas estas mudanças são previsíveis e quem conseguiu enxergar além, não está sentindo os efeitos da crise. Também não se preocupa com a falta de renda, pois precisa lidar com o excesso de oportunidades. Como não ficar preocupado com a falta de dinheiro? O que é enxergar além? O que está à sua frente e você não está enxergando?

A Eletrônica Luniv ou “Por quanto você trabalha?” Um dos meus primeiros e poucos empregos assalariados foi na Eletrônica Luniv no Rio de Janeiro. Na época minha paixão era a eletrônica, fazer a montagem de aparelhos seguindo instruções de revistas ou a partir de circuitos criados por mim. A microinformática ainda não existia e foi pela leitura de revistas de eletrônica que eu conheci a informática, bem antes de a maioria das pessoas saber o que era isso.

professor@marcoaurelio.net

9


Prof. Marco Aurélio Thompson Será que isto não está acontecendo com você? Seu custo para trabalhar está consumindo sua renda bruta? Você sabe quanto realmente recebe, que é o que sobra depois dos gastos necessários para cumprir a rotina de trabalho? Hoje as pessoas contam com vale transporte e ticket refeição o que acaba minimizando as perdas salariais. Não tive esta sorte e procurei formas de reduzir as despesas ou aumentar a receita. A solução encontrada seria andar de trem em vez de ônibus e levar marmita em vez de fazer as refeições na rua. O problema é que o trem urbano no Rio de Janeiro da década de 1990 era uma lata de sardinha. Hoje não é muito diferente, apesar do ar condicionado. E na Eletrônica Luniv não tinha geladeira para funcionários, era levar a marmita e torcer para a comida não ter estragado lá pelas 13 ou 14 horas. Eu não cheguei a levar, mas pelo cheiro que saia das marmitas dos colegas eu perdia até a fome. Para piorar a história a economia por andar de trem e levar marmita nem era lá grande coisa. Me senti um fracassado. Consegui trabalhar em uma loja de eletrônica para ficar perto da minha paixão, mas não conseguia gerar nada além de uns cem reais por mês. O que eu poderia fazer a respeito? O que isso tem a ver com o Analista de Vulnerabilidades? Já vou chegar lá.

Sábado era o dia da festa e o técnico não foi Minha história na Eletrônica Luniv durou apenas uma semana. Fiz a entrevista na segunda, comecei a trabalhar na terça e no sábado tive a grande revelação. Como já disse, bastaram alguns dias para eu entender que não teria um ganho real trabalhando assalariado. Também comentei sobre a possibilidade de andar de trem e levar marmita que não me agradou nem um pouco. E uma das coisas que eu sempre fiz foi ‘me tirar’ de qualquer situação desagradável. A pessoa é desagradável, dada a brincadeiras de mau gosto, usa vocabulário chulo, é trambiqueira, só vive para pedir dinheiro, eu me tiro da situação. Corto as relações. Estou fora. Mereço companhia melhor. E também

professor@marcoaurelio.net

11


Curso de Hacker Profissionalizante (Pentest): Analista de Vulnerabilidades - Vol. 1 A lucrativa experiência com meu primeiro serviço pago usando o conhecimento da eletrônica, me fez decidir que era isso que eu queria fazer deste dia em diante. Talvez você também tenha que decidir entre um salário fixo menor e uma renda eventual maior. E se você pudesse ficar com as duas opções?

Temos o mesmo objetivo Por que resolvi abrir o treinamento com esta história? Porque percebo em muitos dos meus leitores e alunos, independentemente da idade, algumas semelhanças com momentos decisivos da minha trajetória profissional. Acredito que ao falar sobre como tomei esta ou aquela decisão e qual foi o resultado obtido, possa contribuir para você tomar as suas decisões baseadas na experiência de alguém que já passou pelo que você talvez esteja passando.

14

Não foram poucas às vezes que alguém me escreveu dizendo ‘sou cobrador de ônibus, mas meu sonho é trabalhar com informática’, ‘sou segurança, mas meu sonho é trabalhar com informática’, ‘estou desempregado, mas meu sonho é trabalhar com informática’. Não tenho nada contra qualquer atividade profissional. Mas convenhamos que algumas profissões e ocupações são arriscadas, degradantes e não se traduzem em compensação financeira adequada. Acredito que o sonho de todo cidadão é trabalhar fazendo o que gosta e sendo compensado adequadamente por isso. Meu sonho era trabalhar com eletrônica, até eu conhecer a informática. Uma coisa evoluiu da outra. Hoje estou em uma posição profissional confortável, com mais oferta de trabalho do que consigo dar conta e podendo escolher o quê, quando, como e até onde trabalhar. Eu penso em algo assim para você. A liberdade financeira me permitiu escolher qualquer lugar para morar, dentro e fora do Brasil. E apesar de ser nascido e criado no Rio de Janeiro, optei por morar em Salvador, na Bahia. Quem acompanha o noticiário do Rio de Janeiro sabe que não passa

www.cursodehacker.com.br


Prof. Marco Aurélio Thompson um dia sem episódios de troca de tiro entre policiais e facções criminosas. Eu não fugi da violência urbana do Rio de Janeiro, apenas procurei um lugar melhor para viver. E tenho muitos alunos e leitores que moram em área de risco, em cidades do interior quase sem oportunidade de trabalho, em bairros distantes que os obriga a suportar até duas horas de transporte público lotado. Se for o seu caso, não seria bom mudar isso? Eu sinceramente gostaria de ajudar você a alcançar seus objetivos. E certamente um dos seus objetivos é ter uma renda decente e a liberdade para escolher um lugar melhor para viver. Uma das formas que encontrei foi tornar este curso acessível. Você não vai encontrar cursos de pentest pelo preço que pagou por este, mesmo se comprou o curso sem desconto. São cursos caros e nem sempre entregam o que prometem. Não é porque o autor do curso quis enganar seus clientes e alunos. O grande problema dos cursos e livros que vejo por aí é que são escritos por profissionais de informática sem formação didática. Tentam transmitir o conhecimento da forma que acreditam ser a forma correta. E o resultado nem sempre é bom. Com muita gente gastando dinheiro sem receber em troca o aprendizado esperado. O maior erro que vejo é ensinar pentest demonstrando o uso de ferramentas e técnicas, sendo muito comum o uso do Linux Kali/Backtrack, sem que o estudante tenha a base de conhecimento necessária para o que está fazendo. Consegue usar a ferramenta, mas não tem a menor ideia do que significa o resultado que está obtendo. Ou pecam pelas explicações, que mais confundem do que explicam, ou partem de um pressuposto que o aluno-leitor domina certos fundamentos e explicam a técnica a partir de um ponto que o leitor-aluno não entende. O que você vai perceber neste primeiro volume do Curso de Hacker Profissionalizante (Pentest), formação do Analista de Vulnerabilidades, são capítulos curtos com toda a fundamentação teórica que você vai precisar para trabalhar como pentester.

professor@marcoaurelio.net

15


Curso de Hacker Profissionalizante (Pentest): Analista de Vulnerabilidades - Vol. 1 Por que primeiro a teoria? Entendo que muitos gostariam de um curso 100% prático, sem nenhuma teoria. Parece uma boa ideia, mas na verdade seria uma forma de torná-lo(a) incapaz de realizar um pentest por conta própria. Aprender receitas não o torna um cozinheiro. Qualquer um consegue entrar no Youtube, assistir alguns vídeos ensinando a fazer um prato, segue a receita e consegue bons resultados. MAS ISTO NÃO O TORNARÁ UM COZINHEIRO. Ninguém contrata um cozinheiro só porque conseguiu fazer algumas receitas do Youtube. Esta analogia se encaixa perfeitamente no curso de analista de vulnerabilidades. Trabalhar ou ser contratado como analista de vulnerabilidades depende de um conhecimento além das receitas prontas dos tutoriais e vídeos do Youtube. Se você não souber o mínimo necessário sobre as tecnologias envolvidas, não será capaz de tomar as decisões necessárias sobre o que deve constar no relatório. Não será capaz

16

de se comunicar adequadamente com as outras pessoas envolvidas no projeto. Não pense que vão te largar dentro da empresa para você fazer o que quer. Seja um recém contatado ou prestador de serviços, haverá alguém de olho em você o tempo todo, para ver se você está trabalhando corretamente e se não está se aproveitando do acesso liberado aos sistemas da empresa. Você acha que alguém que aprendeu a usar ferramentas no Youtube é capaz de produzir um relatório de pentest? Claro que não. E nem tem vídeo sobre relatórios no Youtube, porque se tiver é um vídeo chato, que ninguém quer ver. O que as pessoas querem é (só) pôr a mão na massa, sem colocar a cabeça para pensar. Vídeos do Youtube são úteis quando você já é treinado e possui a fundamentação teórica necessária. Quando não está preparado, assiste as videoaulas do Youtube, tenta reproduzir e não consegue os mesmos resultados. Se parar para pensar vai perceber que na maioria das vezes nem sabe o que está fazendo. Está apenas repetindo o que vê e torcendo para dar certo, sem qualquer noção do quê, do como e do porquê daquilo.

www.cursodehacker.com.br


Curso de Hacker Profissionalizante (Pentest): Analista de Vulnerabilidades - Vol. 1 Administrador: _”Não fazemos acesso remoto na rede da empresa!?” Analista: _”E por que não bloquearam a porta 23?” Administrador: _”Está aberta!? Vou bloquear no Firewall.” - Mas não bloqueou e alguns dias depois a rede foi invadida. O Analista descobriu uma brecha de segurança, a porta 23 estava ativa respondendo ao Telnet, sem que a empresa soubesse ou precisasse desse serviço. Esta informação é apenas uma entre as muitas que constariam no relatório do pentest, cabendo ao administrador da rede resolver o problema, ou seja, desativar o serviço e/ou bloquear a porta 23 no firewall. Como o analista conseguiu descobrir isto usando apenas o smartphone? Simples. Instalou uma das versões do NMap para Android, fez a varredura e descobriu a porta 23 aberta no servidor.

18

O que você deve aprender com este exemplo? 1) O NMap apenas exibiu as portas, não informou se havia risco. 2) O Analista sabe que a porta 23 é usada pelo serviço Telnet e que o Telnet permite acesso remoto ao computador ou servidor. 3) Se a empresa não precisa do acesso remoto, porque manter a porta 23 ou o serviço Telnet ativo? - É um questionamento do analista que acabou revelando a falha de segurança. Você chegaria à mesma conclusão do analista? O NMap é apenas uma entre as muitas ferramentas à disposição do analista. Porém o NMap apenas revela a existência e estado das portas, às vezes relacionando cada porta ao serviço em uso. Não diz se a porta é ou está vulnerável. Quem precisa analisar o resultado do NMap e concluir se existem riscos nas portas reveladas, é o analista. Para que isto ocorra o analista precisa conhecer redes, servidores, portas, protocolos, funcionamento do sistema operacional, um conhecimento amplo que não é oferecido em apenas um curso.

www.cursodehacker.com.br


Prof. Marco Aurélio Thompson Figura 3 - Smartphone com Android rodando o NMap e revelando a porta 23 aberta.

A figura 3 também revela um serviço FTP rodando na porta 21. Se a empresa ou rede não precisar deste serviço, o melhor a fazer é desativá-lo. DICA: Se quiser experimentar o NMap para Android procure na Play Store por NMap ou Network Map. Após instalado é só informar o IP que deseja fazer a varredura. A análise de vulnerabilidades não se limita à varredura de portas. Inclui outros tipos de varredura e verificações. O que procuramos demonstrar é que mesmo uma varredura simples de portas revela falhas de segurança que, se não forem corrigidas, podem ser exploradas por invasores mal intencionados. Neste Volume 1 procuramos reunir em capítulos curtos, os vários conhecimentos necessários para a interpretação dos resultados das ferramentas que você vai aprender no Volume 2. Entendemos que a teoria pode ser chata quando não está relacionada a alguma ferramenta. Acontece que você tem uma ferramenta que precisa deste conhecimento de base, seu cérebro, o maior responsável por um pentest bem sucedido. Afinal, as ferramentas e conhecimento estão à disposição de todos, o que muda é o cérebro, não é mesmo?

professor@marcoaurelio.net

19


Curso de Hacker Profissionalizante (Pentest): Analista de Vulnerabilidades - Vol. 1 A imagem seguinte revela portas e serviços ainda mais críticos, como o servidor Web IIS e sistemas de banco de dados: Figura 4 - NMap no Android revelando a presença do servidor Web IIS.

20

A quem se destina este curso Durante a fase de divulgação deste material muitos perguntaram se realmente seriam capazes de trabalhar como Analistas de Vulnerabilidade. A resposta é Sim! Como procurei esclarecer com o relato da minha trajetória é comum terminarmos um curso sem a autoconfiança necessária para aceitar novos desafios profissionais. Imagine o que é para um(a) cabeleireiro(a) fazer o primeiro corte? A primeira escova? A primeira tintura? Ou para o médico aviar a primeira receita? Dar o primeiro diagnóstico? Fazer a

www.cursodehacker.com.br


Prof. Marco Aurélio Thompson primeira cirurgia? Para o policial enfrentar o primeiro bandido? E até para a prostituta fazer o primeiro programa? Figura 5 - É preciso vencer o medo e dar a largada.

21

O medo de fazer errado, a dúvida, o risco do fracasso, a atenção exagerada à opinião dos outros, certamente estarão presentes mas precisarão ser vencidos para que você conquiste um lugar ao sol. Se você tiver interesse e tempo para isto, experimente perguntar aos profissionais que interagem contigo como foi a primeira vez deles. Este exercício simples vai ajudar você a ter mais confiança enquanto se prepara para fazer pentests cobrando pelo serviço.

professor@marcoaurelio.net


Curso de Hacker Profissionalizante (Pentest): Analista de Vulnerabilidades - Vol. 1 Em seus primeiros pentests você talvez deixe de verificar algumas vulnerabilidades. Com um pouco de sorte elas não serão exploradas e ninguém será prejudicado. Pode ocorrer de você não encontrar falha alguma e uma semana depois o sistema da empresa ser invadido. Uma vergonha, mas não é muito diferente de uma tintura de cabelo que deu errado, de uma decoração de bolo que derreteu antes da festa, de um som alugado que não funcionou ou um de um caminhão de mudanças que tombou no meio do caminho. São percalços que até pessoas experientes estão sujeitas e no lugar de se deixar abater ou desistir como alguns fazem, é preciso reunir forças, aprender com o erro e seguir em frente. A tal poeira sacudida e a volta por cima da música1. Este curso se destina a todos que querem, precisam ou sonham trabalhar com segurança da informação, como hacker ético profissional, profissional de segurança ou pentester, outro nome para analista de vulnerabilidades. Ou como técnico em informática ou Webdesigner especializado em segurança da informação. As empresas gostaram de ler

22

no currículo sobre o técnico ou Webdesigner que entende de segurança da informação. Elaboramos um curso que pode atender aos diferentes perfis de usuário. Alguém completamente leigo será capaz de realizar testes de penetração mais simples, envolvendo a pouca tecnologia das pequenas redes de escritórios e residenciais. Um técnico em redes ou informática ou alguém mais experiente vai usar a mesma metodologia, porém será capaz de identificar e lidar com redes de médio porte, aplicações Web e sistemas de média complexidade. A mesma metodologia nas mãos de um analista de sistemas, bacharel ou bacharelando em sistemas de informação, cientista da computação ou profissional de TI experiente, vai capacitá-lo a realizar pentests em sistemas de alta complexidade, incluindo Grid e Cloud Computing, IoT e qualquer outra destas tecnologias recentes. Vamos fornecer os mesmos ingredientes e ferramentas, mas de acordo com a expertise de cada um, o resultado será diferente e o público alvo que vai requisitar os serviços

1

http://www.vagalume.com.br/beth-carvalho/volta-por-cima.html

www.cursodehacker.com.br


Prof. Marco Aurélio Thompson também. É parecido com entregar uma panela e um ovo a dois cozinheiros. Pode sair um ovo cozido ou escalfado: Figura 6 - As mesmas ferramentas e ingredientes e dois resultados diferentes.

Qual deles você consegue fazer? Quem vai pedir o ovo cozido e quem vai pedir o ovo escalfado? Qual custará mais caro em um restaurante? Qual exige mais técnica para o preparo? Lembre-se que ambos usam a mesma panela, o mesmo fogão e o mesmo ingrediente: o ovo. Somente a técnica fez diferença no resultado. A boa notícia é que mesmo quem hoje mal consiga entregar um ovo cozido, que podemos comparar a um pentest mais simples para clientes pouco exigentes e que pagam menos, pode aprender mais sobre tecnologia, aprimorar o pentest e conseguir entregar o ovo beneditino, que podemos comparar ao pentest mais elaborado, contratado por empresas mais exigentes e mais bem pagos. O pentest se assemelha bastante com as receitas culinárias. As etapas são iguais para todos, os ingredientes (os softwares, as ferramentas) são os mesmos, o conhecimento está à disposição por igual (com este curso ou com qualquer outro), mas os resultados são bem diferentes, com reflexos diretos na remuneração do analista. O que descobrimos é que algumas pessoas se dedicam um pouco mais, são mais cuidadosas, mas atenciosas, não se detém diante do fracasso e conseguem entregar um trabalho de excelente qualidade. Outras fazem as coisas de qualquer jeito, não aceitam críticas, se convencem de que o melhor é o que conseguem entregar, sem dar chances para o progresso pessoal. O erro para estas pessoas, sempre serão os outros.

professor@marcoaurelio.net

23


Curso de Hacker Profissionalizante (Pentest): Analista de Vulnerabilidades - Vol. 1 Onde você está? Onde quer chegar? Quanto pretende ganhar? Quanto está disposto a investir? Ao ser questionado sobre um trabalho que não atendeu as expectativas, você se desculpa e procurar se aperfeiçoar ou se retrai e põe a culpa em fatores externos?

Tabela 1 - Tabela com a equivalência de habilidades, público alvo e estimativa de preço do serviço de pentest.

PERFIL ATUAL

PÚBLICO ALVO

PREÇO DO SERVIÇO

Analista iniciante, sem

Sites com pouca tecnologia,

Entre 50 e 150 reais por

experiência. Formação

pequenos negócios, pessoa

pentest.

Ensino Médio. Técnico em

física, profissionais liberais,

informática, administrador

escritórios com pequenas

de redes, Webdesigner.

redes, redes residenciais, sistemas Windows com

24

baixa tecnologia envolvida. Profissional de TI com pouca

Pequenas empresas com

Entre 150 e 500 reais por

experiência. Bacharel em

redes de servidores.

pentest.

Sistemas de Informação ou

Sistemas Windows ou Linux

em Ciências da

com média tecnologia. Sites

Computação.

com média tecnologia.

Profissionais de TI

Pequenas empresas com

Entre 500 e 1500 reais por

experientes.

sites de comércio eletrônico.

pentest.

Empresas com filiais e acesso remoto. Sebrae (convênio). Empresa prestadora de

Médias empresas.

Entre 1500 e 15 mil reais por

serviços de segurança da

Prefeituras e Órgãos do

contrato.

informação com pouco

Governo Municipal.

tempo de mercado.

Faculdades, colégios e cursos com laboratório de

www.cursodehacker.com.br


Prof. Marco Aurélio Thompson do acordo de confidencialidade (NDA - Non-Disclosure Agreement, ou Termo de Confidencialidade) e da isenção de responsabilidade. É comum nesta fase o analista receber algum adiantamento, mas isto depende da empresa contratante. A maioria trabalha com faturamento e o serviço só é pago após uns 30 dias em média.

TESTE Na fase do teste entra o pentest propriamente dito. A execução dos testes necessários para comprovar as suspeitas de falhas, cujo levantamento foi feito na fase do pré-teste, e revelar outras mais. É por este motivo que podemos considerar a análise de vulnerabilidades como a etapa que antecede o pentest. E aqui tem uma pegadinha interessante, porque se você fizer só o pré-teste, fez só a análise de vulnerabilidades, mas não fez o pentest. Porém o pentest inclui a análise, mas como a análise também inclui o pentest, ele contém e está contido. É quando a porca morde o próprio rabo.

professor@marcoaurelio.net

65


Prof. Marco Aurélio Thompson 

Com o fim do pentest faço o quê? o Passa para o pós -teste.

PÓS-TESTE Encerrando os testes, o que será facilmente verificado pelo fluxograma, cronograma e algum tipo de gráfico que queira usar, como o de Gantt por exemplo, só faltam duas coisas: o relatório e a apresentação. Figura 14 - Pentest no gráfico de Gantt.

67

O relatório deve ser claro e objetivo, contendo informações sobre o que foi previsto e realizado, bem como os resultados obtidos. Aqui tem um segredinho para quem está começando. O analista de vulnerabilidades não é obrigado a dizer como o cliente deve

professor@marcoaurelio.net


Prof. Marco Aurélio Thompson

Figura 15 - Uma boa apresentação fecha o ciclo com chave de ouro.

69

DICA: Aprenda como fazer apresentações, ensaie algumas vezes e filme para ver como está se saindo, prepara-se para responder perguntas e trate as pessoas como amigos. No Volume 2 (prática) incluímos um estudo de caso, modelo de contrato e relatórios no Word, que você pode modificar de acordo com as suas necessidades, incluímos também um modelo de apresentação no Powerpoint já com as ideias organizadas e baseada no estudo de casos que apresentaremos no Volume 2. É material suficiente para você começar a trabalhar como pentester.

professor@marcoaurelio.net


Prof. Marco Aurélio Thompson 1) O host (1) inicia uma conexão enviando um pacote SYN para o host (2); 2) O host (2) recebe o pacote e responde com um ACK. 3) O host (1) recebe o pacote ACK de (2) e também responde com um pacote ACK. Assim você consegue fazer uma conexão entre duas máquinas só esperando o serviço a ser disponibilizado, mas se não houver resposta de algum lado ou se a sequência não completar os três passos, a comunicação não se estabelece. Agora você já sabe que protocolos são como idiomas usados por computadores e demais dispositivos eletrônicos para se comunicar entre si e com outros dispositivos em rede. Quanto mais protocolos um sistema tiver, com mais redes e equipamentos ele será capaz de se comunicar. Os sistemas operacionais por exemplo, devem ser capazes de reconhecer vários protocolos, para que possam atender requisições diversas, de diferentes equipamentos. Veremos mais sobre protocolos no próximo capítulo sobre TCP/IP.

professor@marcoaurelio.net

79


Curso de Hacker Profissionalizante (Pentest): Analista de Vulnerabilidades - Vol. 1

Nossos Cursos e Livros Como já foi dito, este livro-curso é completo no que diz respeito a formação do analista de vulnerabilidades. Mas você poderá aumentar bastante o seu potencial como analista com nosso livro-curso de Linux Backtrack-Kali, que é o equivalente a fazer um treinamento de pentest na metodologia Backtrack.

80

www.cursodehacker.com.br


Prof. Marco Aurélio Thompson O Modelo OSI (Open Systems Interconnection ou Modelo de Interconexão de Sistemas Abertos) tem sete camadas, sendo a mais alta o aplicativo e a mais baixa a parte física, a placa de rede por exemplo. As camadas são empilhadas desta forma: 

Camada 7: Aplicativo (ou Aplicação)

Camada 6: Apresentação

Camada 5: Sessão

Camada 4: Transporte

Camada 3: Rede

Camada 2: Link de dados (ou Enlace de dados)

Camada 1: Física

Figura 18 - Equivalência entre as camadas do Modelo OSI e as camadas do TCP/IP.

83

Quando você envia uma mensagem de e-Mail, por exemplo, ela começa no seu computador na camada 7, pelo software que vai enviar o e-Mail, passa camada por camada até sair do seu computador pela camada 1, geralmente a placa de rede e conexão com a Internet.

professor@marcoaurelio.net


Curso de Hacker Profissionalizante (Pentest): Analista de Vulnerabilidades - Vol. 1 Os ataques aos servidores DNS são feitos geralmente com exploits, com acesso remoto explorando falha de autenticação ou usando ferramentas criadas especialmente para o alvo desejado. Lembre-se de que o seu papel como analista de vulnerabilidades não é consertar os problemas de falha de segurança da empresa, apenas apontá-los no relatório. Para resolver problemas de mal configuração do DNS, o administrador de redes deve ter uma sólida formação em redes com servidores DNS e entendimento do software utilizado, como o BIND por exemplo.

94

www.cursodehacker.com.br


Prof. Marco Aurélio Thompson

Capítulo 6: O mínimo que você precisa saber sobre redes e Internet A palavra rede tem origem no latim (rete) e quer dizer teia. Uma teia de aranha é um exemplo de rede e a sigla WWW quer dizer World Wide Web ou Teia de Alcance Mundial; costuma ser representada por uma teia de aranha. A palavra rede serve para designar uma certa quantidade de pontos (nós) interligados de forma concreta ou imaginária, por relações de vários tipos. Uma rede de pesca é um exemplo de nós interligados por fios. O nó da rede de pesca é um nó mesmo, na rede de computadores é um dispositivo na rede, geralmente um computador, e nas redes sociais cada nó

95

representa uma pessoa ou grupo. O estudo das redes não é exclusividade da informática. A sociologia estuda as redes sociais, a administração estuda as redes de distribuição (logística) e até a biologia estuda as ligações do meio ambiente. O tipo de rede que nos interessa é a rede de dados e seus dispositivos. O servidor tem um papel importante nas redes, por ser quem organiza a troca de dados e informações.

Como é a Rede? A rede é formada por uma parte física, representada pelos computadores, cabos, modems e diversos outros dispositivos. A rede formada só por equipamentos eletrônicos e cabos não está pronta para funcionar. É preciso um programa para gerenciar a troca de dados, que é o sistema operacional. Ele pode ser o Windows, o Linux, o Mac ou dezenas de outros sistemas operacionais de rede disponíveis. A rede também é formada por pessoas. Este conceito em redes é novo. Mas se você parar e

professor@marcoaurelio.net


Curso de Hacker Profissionalizante (Pentest): Analista de Vulnerabilidades - Vol. 1 Figura 35 - Tela de inventรกrio do Total Network Inventory.

120 Figura 36 - Outra tela de inventรกrio do Total Network Inventory.

www.cursodehacker.com.br


Prof. Marco Aurélio Thompson Se a Ashley Madison fizesse regularmente testes de invasão, a falha seria descoberta - e corrigida - antes dos invasores. A economia de alguns milhares de reais em testes de invasão não vai compensar os milhões de reais em prejuízo e as ações judiciais que já estão em andamento. Figura 46 - A invasão da base de dados do site Ashley Madison expôs os dados de milhões de usuários.

139

Um amigo perguntou porque as pessoas procuram um site de relacionamento extraconjugal, já que existem tantos sites de namoro por aí!? A resposta está na pergunta. Os usuários do Ashley Madison - e outros sites do tipo - não querem relacionamento sério, o interesse é por sexo ou relacionamentos fora do casamento ou da união estável. Sem compromisso e sem rodeios. São movidos pelo instinto mais básico da raça humana: o sexo. E sexo com a mesma pessoa só é interessante por alguns anos e olhe lá. Taí. o Viagra® que não me deixa mentir. Dada a importância dos bancos de dados muitas das ferramentas que você vai encontrar nos pacotes de programas para pentest tratam diretamente da vulnerabilidade dos bancos de dados.

professor@marcoaurelio.net


Prof. Marco Aurélio Thompson 

IDE - Os Ambientes Integrados de Desenvolvimento facilitam o uso do SQL por permitirem que com o uso de interfaces gráficas e wizards (assistentes), as instruções sejam montadas com mais facilidade e rapidez.

Abaixo temos um exemplo de instrução SQL com o objetivo de listar todas as contas da tabela users cuja senha seja 123456: SELECT * FROM users WHERE senha = 123456 Você vai perceber no Volume 2 (prática) deste treinamento que todos os pacotes com ferramentas de pentest incluem módulos que simulam ou atacam bancos de dados em busca de vulnerabilidades. Boa parte destas ferramentas realiza os testes gerando consultas SQL maliciosas. Estas técnicas são conhecidas como SQL Injection. Figura 48 - Ataques de injeção SQL podem ser feitos on-line para conseguir acesso à páginas de login.

147

Isto é tudo o que você precisa saber sobre banco de dados e SQL. Nosso objetivo com este capítulo foi torná-lo capaz de compreender o funcionamento dos bancos de dados e como a linguagem SQL pode ser usada de forma maliciosa para obter dados indevidamente.

professor@marcoaurelio.net


Curso de Hacker Profissionalizante (Pentest): Analista de Vulnerabilidades - Vol. 1

Nossos Cursos e Livros Como já foi dito, este livro-curso é completo no que diz respeito a formação do analista de vulnerabilidades. Mas você poderá aumentar bastante o seu potencial como analista com nosso livro-curso de Perícia Forense Aplicada à Informática.

148

www.cursodehacker.com.br


Prof. Marco Aurélio Thompson Se eu já não estivesse no ramo, seria esta segunda forma a que eu usaria para me apresentar aos clientes em potencial. Procuraria o Sebrae, as associações de classe, as médias e grandes empresas da minha região; anunciaria em jornais e programas de rádio, tentaria ser entrevistado pelo jornal local e certamente conseguiria muitos clientes com isso. Também investiria nas redes sociais, criaria um blog para postar dicas de segurança, criaria uma mala direta para desenvolver uma base de clientes, ofereceria alguns serviços de teste de invasão que poderiam ser contratados e executados à distância. A grande vantagem em ser dono do próprio negócio é que você não precisa cumprir nenhuma das exigências da contratação formal. Não importa a sua idade, sua escolaridade, onde mora, formação profissional. A única coisa que importa é a sua capacidade de entregar o que o prometeu ao cliente: o pentest realizado. Após algum tempo como prestador de serviços autônomo poderá pensar em abrir seu próprio negócio. Pense sobre isso. Estes são os caminhos possíveis para você transformar o conhecimento deste curso em uma atividade lucrativa. Como se trata de uma área nova, sem muitos pioneiros nos quais possamos nos basear, você terá que encontrar seu próprio caminho. Sugerimos várias opções e acreditamos que a partir delas, não será difícil você encontrar o caminho que seja melhor para você. Se estiver com alguma dificuldade para entrar no mercado, se precisar de alguma ideia ou de alguém que converse contigo sobre o que pretende fazer para começar a trabalhar, sabe que pode contar comigo, seja pelo Facebook, telefone ou WhatsApp, só pedimos que evite o e-Mail. É o canal de comunicação mais problemático que temos, devido ao grande número de mensagens bloqueadas por conta do uso da palavra hacker nas mensagens. Agora eu fico por aqui, mas aguardo você no Volume 2 (prática) para dar prosseguimento ao curso. Até lá!

professor@marcoaurelio.net

157


Curso de Hacker Profissionalizante (Pentest): Analista de Vulnerabilidades - Vol. 1

Nossos Cursos e Livros Entre nossos lançamentos para 2015 estamos incluindo o Curso de Phreaking, totalmente atualizado, que você poderá adquirir conosco. Este curso é único no mundo e incluiu a descrição detalhada de como é feita a clonagem dos telefones celulares. Nosso objetivo é demonstrar como estamos sujeitos à falhas de segurança e agora que anunciaram o fim do sim card físico, que passará a ser virtual, as chances de invadirem nossas linhas de telefone são maiores ainda.

158

www.cursodehacker.com.br



Curso de hacker (analista de vulnerabilidades) - AMOSTRA GRATIS