Profissional Teste de Invasão

Profissional Teste de Invasão Criação e funcionamento um Laboratório Formal Hacking

Thomas Wilhelm Editor técnico

Jan Kanclirz Jr.

AMSTERDÃ •BOSTON •HEIDELBERG •LONDRES NEW YORK •OXFORD •PARIS •SAN DIEGO SAN FRANCISCO •SINGAPORE •SYDNEY •TÓQUIO Syngress é uma marca da Elsevier

Syngress®

Syngress é uma marca da Elsevier 30 Corporate Drive, Suite 400, Burlington, MA 01803, EUA Linacre House, Jordan Hill, Oxford OX2 8DP, UK Teste de Invasão profissional Copyright © 2010 Elsevier Inc. Todos os direitos reservados. Nenhuma parte desta publicação pode ser reproduzida ou transmitida em qualquer forma ou por qualquer meio, eletrônico ou mecânico, incluindo fotocópia, gravação ou qualquer sistema de armazenagem e recuperação, sem permissão por escrito do editor. Detalhes sobre como solicitar permissão, mais informações sobre as políticas de permissões do Publisher e do nosso acordos com organizações como a Copyright Clearance Center e da Agência de Licenciamento de Direitos Autorais, pode ser encontrado no nosso site: www.elsevier.com / permissões. Este livro e as contribuições individuais contidos nele são protegidos por direitos de autor pelo editor (além dos que poderão ser notado aqui). Avisos Conhecimentos e melhores práticas neste domínio estão mudando constantemente. Como novas pesquisas e ampliar nossa experiência compreensão, as mudanças nos métodos de pesquisa, as práticas profissionais, ou tratamento médico pode ser necessário. Profissionais e pesquisadores devem sempre contar com sua própria experiência e conhecimento na avaliação e utilização de qualquer informações, métodos, compostos, ou experimentos aqui descritos. No uso de tais informações ou métodos que devem ser consciente de sua própria segurança ea segurança de terceiros, incluindo os partidos para os quais eles têm a responsabilidade profissional. Em toda a extensão da lei, nem o Editor nem os autores, colaboradores ou editores, assume qualquer responsabilidade por qualquer ferimento e / ou danos a pessoas ou propriedade como uma questão de responsabilidade de produtos, negligência ou de outra forma, ou de qualquer uso ou operação de qualquer métodos, produtos, instruções ou idéias contidas no material aqui contido. Catalogação-na-fonte Pedido apresentado British Library Catalogação-na-Data Um registro de catálogo para este livro está disponível na Biblioteca Britânica. ISBN: 978-1-59749-425-0 ISBN: 978-1-59749-466-3 (DVD) Impresso nos Estados Unidos da América 10 11 12 13 10 9 8 7 6 5 4 3 2 1 Elsevier Inc., o autor (s), e qualquer pessoa ou empresa envolvida na escrita, edição ou produção (coletivamente "Makers") deste livro ("O Trabalho") não assegura nem garante que os resultados sejam obtidos a partir do trabalho. Para obter informações sobre direitos, traduções e vendas a granel, entre em contato Matt Pedersen, Diretor de Vendas Comerciais e Direitos; e-mail m.pedersen @ elsevier.com Para obter informações sobre todas as publicações Syngress visite o nosso Web site em www.syngress.com Typeset por: diacriTech, Índia

Sobre o Autor Thomas Wilhelm é atualmente empregado em uma empresa da Fortune 20 executando testes de penetração e avaliações de risco. Thomas passou mais de 15 anos no Informações de campo de carreira do Sistema e recebeu as seguintes certificações: ISSMP, CISSP, SCSECA, SCNA, SCSA, IEM, e IAM. Thomas é atualmente um estudante de PhD em um Centro Nacional de Excelência Acadêmica em Educação Information Assurance (CAEIAE) como reconhecido pelo Nacional Agência de Segurança e do Departamento de Segurança Interna dos EUA. Seu grau de Doutor programa é em tecnologia da informação, com especialização em segurança da informação. Ele obteve dois graus de mestrado em Ciência da Computação e Administração, tanto com especialização em segurança do sistema de informação. Como um esforço para dar a volta para a comunidade hacker, Thomas desenvolveu o De-ICE.net pentest LiveCD e projeto Hackerdemia, e tem falado em segurança conferências nos Estados Unidos, incluindo HOPE e DefCon. Ele também é um professor associado da Universidade Técnica de Colorado, sistema de informação de ensino segurança em nível de graduação e pós-graduação. Thomas já escreveu para Hakin9 revista, e tem sido publicado em vários livros, incluindo Penetração Toolkit testador Open Source, 2e, ISBN: 978-1-59749-213-3; Metasploit Toolkit para Teste de Invasão, Exploração, Desenvolvimento e Pesquisa de Vulnerabilidade, ISBN: 978 1-59749-074-0, e Power Tools netcat, ISBN: 978-1-59749-257-7 todos os disponíveis através de publicação Syngress.

EDITOR TÉCNICO Jan Kanclirz Jr. (CCIE # 12136-Security, CISSP, RSA CSP, CCSP, CCNP, CCIP, CCNA, CCDA, INFOSEC Professional, WLAN Cisco Especialista em Suporte / Design, DCASI, DCASD) é atualmente uma rede Senior Architect Segurança da Informação em Comunicações MSN. Jan especializada em projetos de vários fornecedores e pós-venda implementações para várias tecnologias, incluindo redes privadas virtuais (VPNs), sistema de prevenção de intrusão, detecção de sistema / intrusão (IPS / IDS), local rede de área / wide-area network (LAN / WAN), firewalls, redes de conteúdo, sem fio, voz e over Internet Protocol (VoIP). Além de projetos de rede e engenharia, fundo Jan inclui uma vasta experiência com código aberto aplicações e Linux. Jan contribuiu para mais de 10 títulos em várias Syngress tópicos, incluindo wireless, VoIP, segurança, sistemas operacionais e outras tecnologias.

Esta página foi intencionalmente deixada em branco

Conteúdo Agradecimentos ................................................. ............................... xvii Prefácio ................................................. ............................................ xix

PARTE 1 CONFIGURAÇÃO CAPÍTULO 1 Introdução ............................................... .......................... 3 Introdução ................................................. ...................... 3 Sobre o livro ............................................... ................... 4 Público-Alvo ................................................ ............. 4 Como usar este livro ............................................. ....... 5 Sobre o DVD ............................................... .................... 7 Material curso ................................................ .............. 8 Material de referência ................................................ .......... 8 LiveCDs ................................................. ........................ 8 Resumo ................................................. ........................ 10 Soluções Fast Track ............................................... ........... 10 Sobre o livro ............................................... ............. 10 Sobre o DVD ............................................... .............. 11 Referência ................................................. ........................ 11

CAPÍTULO 2 Ética e Hacking ............................................. ................ 13 Introdução ................................................. .................... 13 Por que ficar de Ética? .................................................. ............ 15 Black Hat Hackers ............................................... .......... 15 Hackers de chapéu branco ............................................... ......... 17 Hackers de chapéu cinza ............................................... ........... 18 Padrões éticos ................................................ ............... 19 Certificações ................................................. ............... 19 Contratante ................................................. ................... 19 Empregador ................................................. .................... 20 Organizações Educativas e Institucional ....................... 21 Leis Crime computador ............................................... ......... 24 Tipos de Leis ............................................... ................ 24 Tipo de Crimes de computador e ataques ............................. 24 Leis Federais dos EUA ............................................... ........... 27 Leis de Estado dos EUA ............................................... .............. 29

v

vi Conteúdo

Leis internacionais ................................................ ......... 30 Safe Harbor e da Directiva 95/46/CE ................................ 31 Obter permissão para Hack .............................................. .. 32 Acordo de Confidencialidade .............................................. 32 Obrigações da Empresa ................................................ .... 33 Obrigações contratante ................................................ ... 34 Auditoria e monitoramento ............................................... . 35 Gestão de Conflitos ................................................ ..... 35 Resumo ................................................. ........................ 36 Soluções Fast Track ............................................... ........... 36 Por que ficar de Ética? .................................................. ........ 36 Padrões éticos ................................................ ........... 37 Leis Crime computador ............................................... ..... 37 Obter permissão para Hack ............................................ 37 Perguntas mais frequentes ............................................... 38 Expandir suas habilidades ............................................... ............. 38 Referências ................................................. ....................... 40

CAPÍTULO 3 Hacking como uma carreira ............................................ ................ 43 Introdução ................................................. .................... 43 Caminhos da carreira ................................................ ..................... 45 Arquitetura de rede ................................................ ..... 46 Administração do Sistema ................................................ ... 47 Aplicações e bancos de dados ............................................ 48 Certificações ................................................. ................... 49 Alto Nível Certificações .............................................. ... 51 Competências e certificações específicas do fornecedor ............................ 65 Associações e Organizações ........................................... 84 Organizações profissionais .............................................. 85 Conferências ................................................. ................. 85 Comunidades locais ................................................ ........ 92 Listas de discussão ................................................ ................. 93 Resumo ................................................. ........................ 94 Soluções Fast Track ............................................... ........... 95 Caminhos da carreira ................................................ ................. 95 Certificações ................................................. ............... 95 Associações e Organizações ....................................... 96 Perguntas mais frequentes ............................................... 96 Expandir suas habilidades ............................................... ............. 97 Referências ................................................. ....................... 98

Conteúdo vii

CAPÍTULO 4 Configurando o Lab ............................................ ............... 101 Introdução ................................................. ................... 101 Lab pessoal ................................................ ................... 102 Mantê-lo simples ............................................... ......... 102 Equipamentos ................................................. ................. 102 Software ................................................. .................... 103 Exercícios de laboratório para Book .............................................. ... 103 Lab corporativa ................................................ ................. 106 Interna Labs ................................................ ............... 107 Externa Labs ................................................ .............. 107 Equipamentos ................................................. ................. 107 Software ................................................. .................... 108 Proteger dados de teste de penetração ........................................ 108 Os esquemas de criptografia ................................................ ..... 108 Protegendo Systems pentest ............................................. 110 Preocupações de segurança móvel .............................................. 111 Dados Wireless Laboratório ............................................... ......... 112 Hardware de rede adicional ........................................... 112 Roteadores ................................................. ..................... 113 Firewalls ................................................. ................... 113 Intrusion Detection System Prevenção System / Intrusion. . . 114 Resumo ................................................. ....................... 114 Soluções Fast Track ............................................... .......... 115 Lab pessoal ................................................ ............... 115 Lab corporativa ................................................ ............. 115 Proteger dados de teste de penetração .................................... 115 Hardware de rede adicional ....................................... 115 Perguntas Frequentes .............................................. 116 Expandir suas habilidades ............................................... ........... 116 Referência ................................................. ...................... 117

CAPÍTULO 5 Criando e usando Metas pentest em seu laboratório ...................... 119 Introdução ................................................. ................... 119 Turn-Key Cenários versus Real-World Targets ..................... 120 Problemas com Aprender a Hack .................................... 120 Cenários do mundo real .............................................. ..... 121 Turn-Key Cenários .............................................. ............ 122 O que é um LiveCD? .................................................. ...... 123 De-ICE ............................................... ........................ 123 Hackerdemia ................................................. .............. 127

viii Conteúdo

pWnOS ................................................. ..................... 128 Foundstone ................................................. ................ 131 Open Web Application Security Project ........................... 132 Usando Alvos Explorável ............................................... .. 136 Sistemas Operacionais ................................................ ....... 136 Aplicações ................................................. ............... 137 Analisando Malware -Vírus e Worms ............................ 137 Criação de um Laboratório .............................................. ............ 138 Outras idéias Target ............................................... ............ 144 Eventos CTF ................................................ ................. 145 Web-Based Desafios .............................................. ... 145 Anúncios vulnerabilidade ........................................ 146 Resumo ................................................. ....................... 147 Soluções Fast Track ............................................... .......... 148 Turn-Key Cenários versus Real-World Targets ................. 148 Turn-Key Cenários .............................................. ........ 148 Usando Alvos Explorável ............................................. 148 Analisando Malware -Vírus e Worms ........................ 148 Outras idéias Target ............................................... ........ 149 Perguntas Frequentes .............................................. 149 Expandir suas habilidades ............................................... ........... 150 Referências ................................................. ..................... 151

CAPÍTULO 6 Metodologias ............................................... ................... 153 Introdução ................................................. ................... 153 Body of Knowledge Project Management ............................ 154 Introdução ao PMBOK ............................................... . 155 Iniciando Grupo de processos de ............................................... 155 Grupo de processos de planejamento ............................................... 157 Grupo de processos de execução .............................................. 161 Grupo de processos de fechamento ............................................... .. 163 Monitoramento e Grupo de processos de Controle ...................... 163 Informações do Sistema de Segurança Quadro de Avaliação ............ 166 Planejamento e Preparação -Fase I ................................ 166 Avaliação -Fase II ................................................ .. 166 Relatórios, Clean-up, and Destroy Artefatos -Fase III ...... 170 Open Source Security Manual Metodologia de Testes .............. 171 Rules of Engagement ............................................... .... 172 Canais ................................................. ................... 173 Módulos ................................................. .................... 175 Resumo ................................................. ....................... 176

Conteúdo ix

Soluções Fast Track ............................................... .......... 177 Body of Knowledge Project Management ........................ 177 Informações do Sistema Quadro de Avaliação de Segurança ........ 177 Open Source Security Manual Metodologia de Testes de .......... 178 Perguntas Frequentes .............................................. 178 Expandir suas habilidades ............................................... ........... 179 Referências ................................................. ..................... 179

CAPÍTULO 7 pentest Metrics .............................................. .................. 181 Introdução ................................................. ................... 181 Métodos quantitativos, qualitativos e mistos ...................... 182 Análise Quantitativa ................................................ .... 182 Análise qualitativa ................................................ ...... 183 Método de Análise mista ............................................... .. 185 Metodologias atuais ................................................ ..... 186 Project Management Institute ........................................ 186 ISSAF ................................................. ........................ 191 OSSTMM ................................................. ................... 192 Ferramenta de relatórios gerados .............................................. .. 193 Resumo ................................................. ....................... 194 Soluções Fast Track ............................................... .......... 195 Métodos quantitativos, qualitativos e mistos .................. 195 Metodologias atuais ................................................ . 195 Perguntas Frequentes .............................................. 196 Referências ................................................. ..................... 196

CAPÍTULO 8 Gerenciamento de uma pentest ............................................ ....... 197 Introdução ................................................. ................... 197 Membros da equipe de projeto ............................................... ...... 197 Papéis e Responsabilidades ............................................. 198 Estrutura organizacional ............................................... 202 Project Management ................................................ ......... 206 Iniciar Estágio ................................................ ............ 206 Planejamento Estágio ................................................ ............ 208 Execução Estágio ................................................ ........... 209 Acompanhamento e Controle ........................................... 211 Fechamento Estágio ................................................ .............. 211 Resumo ................................................. ....................... 214 Soluções Fast Track ............................................... .......... 214 Membros da equipe de projeto ............................................... .. 214 Project Management ................................................ ..... 214

xConteúdo

Perguntas Frequentes .............................................. 215 Expandir suas habilidades ............................................... ........... 215 Referências ................................................. ..................... 216

PARTE 2 A RUNNING pentest CAPÍTULO Coleta de Informações .............................................. 9 ........... 219 Introdução ................................................. ................... 219 Coleta de Informações passiva ........................................... 221 Presença na Web ................................................ ............. 222 Dados corporativos ................................................ ............ 231 WHOIS e Enumeração DNS ...................................... 233 Recursos adicionais na Internet ........................................ 236 Coleta de Informações Active ............................................ 238 Interrogatório DNS ................................................ ....... 238 E-mail Contas .............................................. ............. 240 Perímetro da rede Identificação ................................... 242 Levantamento da rede ................................................ ...... 246 Project Management ................................................ ......... 247 Fase Processo de execução ............................................... 248 Monitoramento e Controle de Processos ..................................... 250 Resumo ................................................. ....................... 253 Soluções Fast Track ............................................... .......... 253 Coleta de Informações passiva ....................................... 253 Coleta de Informações ativos ........................................ 254 Project Management ................................................ ..... 254 Perguntas Frequentes .............................................. 254 Expandir suas habilidades ............................................... ........... 255 Referências ................................................. ..................... 257

CAPÍTULO Identificação Vulnerabilidade 10 .............................................. ..... 259 Introdução ................................................. ................... 259 Port Scanning ................................................ .................. 260 Verificação alvo ................................................ ....... 261 UDP Scanning ................................................ ............. 264 TCP Scanning ................................................ .............. 265 Perímetro Scanning Avoidance ....................................... 268 Identificação do sistema ................................................ ........ 272 Active OS Fingerprinting .............................................. 272 OS Fingerprinting passivo ............................................. 272

Conteúdo xi

Identificação dos serviços ................................................ ...... 275 Banner Agarrando ................................................ ......... 276 Enumerando Serviços Desconhecido .................................... 277 Identificação da vulnerabilidade ................................................ 278 Resumo ................................................. ....................... 281 Soluções Fast Track ............................................... .......... 281 Port Scanning ................................................ .............. 281 Identificação do sistema ................................................ .... 282 Identificação dos serviços ................................................ .. 282 Identificação da vulnerabilidade ............................................ 282 Perguntas Frequentes .............................................. 282 Expandir suas habilidades ............................................... ........... 283 Referência ................................................. ...................... 284

CAPÍTULO Verificação Vulnerabilidade 11 .............................................. ....... 285 Introdução ................................................. ................... 285 Exploit Códigos -Encontrar e Running ................................. 287 Sites Internet ................................................ ............... 287 Ferramentas automatizadas ................................................ ......... 290 Exploit Códigos -Criando seu próprio ................................... 320 Fuzzing ................................................. ..................... 322 Revisão do Código ................................................ ............... 324 Invertendo aplicação ................................................ .. 324 Hacking Web ................................................ .................. 325 Injeção de SQL ................................................ .............. 326 Cross-Site Scripting .............................................. ........ 327 Vulnerabilidades em Aplicações Web ..................................... 330 Project Management ................................................ ......... 332 Fase Processo de execução ............................................... 332 Monitoramento e Controle de Processos ..................................... 333 Resumo ................................................. ....................... 334 Soluções Fast Track ............................................... .......... 335 Exploit Códigos -Encontrar e Running ............................. 335 Exploit Códigos -Criando seu próprio ............................... 335 Hacking Web ................................................ .............. 335 Project Management ................................................ ..... 335 Perguntas Frequentes .............................................. 336 Expandir suas habilidades ............................................... ........... 336 Referências ................................................. ..................... 338

xii Conteúdo

CAPÍTULO 12 Comprometimento e um sistema de escalonamento de privilégios ..................... 339 Introdução ................................................. ................... 339 Enumeração sistema ................................................ ........ 341 Vulnerabilidades internas ................................................ . 341 Dados sensíveis ................................................ ............. 347 Packet Sniffing rede ............................................... .... 348 Engenharia Social ................................................ ........... 354 Baiting ................................................. ...................... 355 Phishing ................................................. .................... 355 Pretexting ................................................. .................. 355 Ataques sem fio ................................................ .............. 356 Wi-Fi Protected Access Attack ........................................ 357 Ataque WEP ................................................ ................. 362 Project Management ................................................ ......... 364 Fase Processo de execução ............................................... 364 Monitoramento e Controle de Processos ..................................... 365 Resumo ................................................. ....................... 365 Soluções Fast Track ............................................... .......... 366 Enumeração sistema ................................................ .... 366 Packet Sniffing rede ............................................... 367 Engenharia Social ................................................ ....... 367 Ataques sem fio ................................................ .......... 367 Project Management ................................................ ..... 367 Perguntas Frequentes .............................................. 368 Expandir suas habilidades ............................................... ........... 368 Referências ................................................. ..................... 369

CAPÍTULO Access 13 Manutenção .............................................. ............. 371 Introdução ................................................. ................... 371 Conchas e Shells Reverse .............................................. .... 372 Netcat Shell ................................................ ................ 372 Netcat Shell Reverse ............................................... ...... 376 Túneis criptografados ................................................ ........... 379 Adicionando um Firewall Host (Opcional) ................................. 380 Configurando o Reverse Shell SSH ................................... 381 Criptografia e Métodos outras Tunnel ............................... 386 Resumo ................................................. ....................... 387 Soluções Fast Track ............................................... .......... 388 Conchas e Shells Reverse .............................................. 388 Túneis criptografados ................................................ ....... 388 Criptografia e Métodos outras Tunnel ........................... 388

Conteúdo xiii

Perguntas Frequentes .............................................. 389 Expandir suas habilidades ............................................... ........... 389 Referência ................................................. ...................... 390

CAPÍTULO 14 Cobrindo suas trilhas ............................................. ............ 391 Introdução ................................................. ................... 391 Manipulando dados Log ............................................... ...... 392 Login do usuário ................................................ .................. 392 Logs aplicação ................................................ .......... 396 Arquivos escondendo ................................................ .................... 397 Escondendo Arquivos em Plain Sight ............................................ 398 Escondendo arquivos usando o File System ................................. 399 Arquivos escondidos em Windows .............................................. 402 Resumo ................................................. ....................... 404 Soluções Fast Track ............................................... .......... 405 Manipulando dados Log ............................................... .. 405 Arquivos escondendo ................................................ ................ 405 Perguntas Frequentes .............................................. 405 Expandir suas habilidades ............................................... ........... 406 Referência ................................................. ...................... 406

PARTE 3 ACONDICIONAMENTO TUDO UP CAPÍTULO 15 Resultados Reporting .............................................. ................ 409 Introdução ................................................. ................... 409 O que você deve Report? ................................................. 410 Questões de Âmbito .............................................. ....... 410 Descobertas ................................................. .................... 411 Soluções ................................................. ................... 412 Preparação do manuscrito ................................................ 412 Relatório Inicial ................................................ ................... 414 Comentários Peer ................................................ .............. 415 Verificando fato ................................................ ............. 415 Métricas ................................................. ...................... 416 Relatório Final ................................................ .................... 425 Comentários Peer ................................................ .............. 425 Documentação ................................................. ........... 426 Resumo ................................................. ....................... 437 Soluções Fast Track ............................................... .......... 438 O que você deve Report? ............................................. 438 Relatório Inicial ................................................ ............... 438 Relatório Final ................................................ ................ 438

xiv Conteúdo

Perguntas Frequentes .............................................. 439 Expandir suas habilidades ............................................... ........... 439 Referências ................................................. ..................... 441

CAPÍTULO 16 Arquivamento de dados .............................................. .................... 443 Introdução ................................................. ................... 443 Você deve manter dados? .................................................. .. 443 Questões Legais ................................................ ................ 444 E-mail ............................................... ......................... 446 Conclusões e relatórios ............................................... .... 446 Documentação assegurar ................................................ ... 447 Controla o acesso ................................................ ........... 448 Métodos de arquivamento ................................................ ......... 448 Locais de arquivamento ................................................ ....... 449 Políticas destruição ................................................ ..... 450 Resumo ................................................. ....................... 450 Soluções Fast Track ............................................... .......... 451 Você deve manter dados? ................................................ 451 Protegendo Documentação ............................................... 451 Perguntas Frequentes .............................................. 451 Referência ................................................. ...................... 452

CAPÍTULO 17 Limpando seu laboratório ............................................ ............ 453 Introdução ................................................. ................... 453 Arquivamento de dados Lab ............................................... ........... 454 Prova de Conceitos ............................................... ......... 454 Análise de Malware ................................................ ......... 455 Criação e Utilização de Imagens Sistema ..................................... 455 Questões licença ................................................ ............. 455 Máquinas virtuais ................................................ .......... 456 "Ghost" Imagens ................................................. .......... 456 Criação de um "Clean Shop "................................................ ... 457 Métodos de higienização ................................................ .... 458 Usando Hashes ................................................ .............. 461 Change Controls Management ....................................... 461 Resumo ................................................. ....................... 462 Soluções Fast Track ............................................... .......... 462 Arquivamento de dados Lab ............................................... ....... 462 Criação e Utilização de Imagens Sistema ................................. 463 Criação de um "Clean Shop "............................................... 463 Perguntas Frequentes .............................................. 463 Referência ................................................. ...................... 463

Conteúdo xv

CAPÍTULO 18 Planejamento para seu pentest Next ........................................... . 465 Introdução ................................................. ................... 465 Gestão de Risco Registrar ............................................... . 466 Criando uma Gestão de Risco Registrar ............................. 466 Priorização de Riscos e Respostas ............................. 467 Banco de dados de conhecimento ................................................ ........ 468 Criar um banco de dados Conhecimento ..................................... 468 Sanitização dos Resultados ............................................... . 469 Projeto de Banco de Dados de Gestão do Conhecimento ....................... 469 Pós-Ação de Revisão .............................................. ........... 470 As avaliações do projeto ................................................ ..... 470 As avaliações da equipe ................................................ ....... 471 As propostas de treinamento ................................................ ....... 471 Resumo ................................................. ....................... 473 Soluções Fast Track ............................................... .......... 473 Gestão de Risco Registrar ............................................ 473 Banco de dados de conhecimento ................................................ .... 474 Pós-Ação de Revisão .............................................. ....... 474 Perguntas Frequentes .............................................. 474 Expandir suas habilidades ............................................... ........... 475 Referência ................................................. ...................... 476

Apêndice A: Siglas .............................................. ............................... 477 Apêndice B: Definições .............................................. ............................. 489 Índice ................................................. ................................................. 495


Agradecimentos A maioria das pessoas olha para um livro e ver um ou dois nomes na capa e nunca perceber a inúmeras pessoas envolvidas nos bastidores. Aqui é o meu fraco tentativa de reconhecer alguns daqueles que têm contribuído para o desenvolvimento do livro ou o programa de treinamento online.

FAMÍLIA Sem dúvida, os membros mais úteis e de apoio do livroelenco de desenvolvimento é a minha família. Todo o tempo gasto de trabalho e na educação nunca teria sido possível sem o apoio incondicional de minha esposa, Crystal. Sua capacidade de trabalhar nos bastidores para sustentar a família, incluindo a nossa duas filhas, enquanto eu estive ocupada merece ser reconhecido. O fato de que nossa filha mais velha é autista tem complicado a vida, ainda continuou a Crystal fornecer apoio inabalável. Por tudo que ela fez, este livro é dedicado a ela. Meus pais também têm sido muito influente no meu progresso ao longo da minha vida. Sem o seu apoio e cuidados, nada disto teria sido possível. Vou constantemente se esforçar para ser metade do homem como meu pai, e uma fração como cuidar de minha mãe -puseram a fasquia muito alta, e eu aprecio tudo o que fizeram.

HEOROT.NET O material neste livro não foi originalmente destinados a um livro. Os cursos incluído no DVD foram desenvolvidos como cursos online, mas este livro é o direto resultado do sucesso dos programas de formação online. Este sucesso nunca teria sido possível sem o apoio de dois indivíduos muito talentosos -Aaron Follette e Jason Rohman. Estes dois indivíduos merecem mais reconhecimento para seu trabalho duro no desenvolvimento dos cursos online do que eu posso dar-lhes crédito no Nesta seção curta do livro. Não só eles têm sido meus grandes amigos, eles têm trabalharam diligentemente para ajudar a tornar Heorot.net sucesso.

NO LADO Duas pessoas têm ajudado a influenciar o desenvolvimento livro -Jeff Langr e Nathan Farrar. Jeff Langr é de longe o melhor gerenciador de projetos e programador eu vim transversalmente. Seu conhecimento e desejo inato de ajudar outros a aprender foram inspiração, e eu não posso falar altamente bastante de suas contribuições publicadas a programação e hands-on ajudar com a minha própria carreira e da escrita. Nathan foi parte integrante do processo de escrita, e eu aprecio muito sua ajuda e entusiasmo. Um recém-formado que se mudou para melhor se esforça,

xvii

xviii Agradecimentos

não há dúvida de que ele vai anão nenhuma das minhas próprias realizações. Desejo-lhe boa sorte em sua carreira. Não posso encerrar sem reconhecer a DC303 Capture the Flag equipe, a quem Eu tive o privilégio de "Participar" com o passar dos anos. Estou admirado com a sua habilidades e estamos ansiosos para o ano em que nós realmente ganhar o CTF DefCon competição.

Prefácio Este livro é uma divergência da maioria dos livros, uma vez que discute a penetração profissional testes, desde a concepção à conclusão. Ao invés de focar apenas em informações identificação do sistema de vulnerabilidade e exploração, até o final deste livro, vamos examinaram todos os aspectos de um teste de penetração profissionais, incluindo projeto gestão, estruturas organizacionais, formação de equipes, desenvolvimento de carreira, métricas, relatórios, dados de teste de métodos de arquivamento, gerenciamento de riscos e treinamento. . . além de . . . coleta de informações, identificação de vulnerabilidades, a vulnerabilidade exploração, escalação de privilégios, mantendo o acesso, e cobrindo nossas faixas. O segundo fator que torna este livro único é a inclusão de dois vídeo cursos, projetado para ensinar sistema de informação fundamental e médio técnicas de teste de penetração. Estes cursos foram desenvolvidos como treinamento on-line classes e oferecidos através Heorot.net e direcionada tanto experientes e novatos teste de penetração praticantes. O curso, desde que o aluno com hands-on experiência, para que pudessem traduzir o conhecimento teórico de PenTesting em habilidades do mundo real. A terceira vantagem deste livro é o supra-mencionado experiência hands-on. O DVD que acompanha inclui tudo o necessário para criar um teste de penetração laboratório, incluindo sistemas de destino que imitam mundo real servidores. Os sistemas de destino foram desenvolvidos especificamente para ser atacado e cortado dentro de um pentest laboratório, e oferecem diferentes níveis de complexidade e dificuldade. Para aqueles que não estão familiarizados com as técnicas de teste de penetração, os sistemas de destino incluídos neste livro fornecer uma curva de aprendizagem gradual, que vai desafiar tanto novatos e especialistas da mesma forma. O site Heorot.net deve ser considerado como uma extensão deste livro. O seção do fórum tem inúmeras discussões sobre todos os temas apresentados neste livro como bem como os desafios De ICE. LiveCDs novos estão em desenvolvimento para desafiar as habilidades, e como fazer vídeos estão sendo adicionados. Aproveitar o conhecimento compartilhado. Se você tem quaisquer perguntas ou comentários sobre o livro, seu conteúdo, ou a Heorot. site net, por favor, não hesite em contactar-me diretamente para [email protected]. Divirta-se!

xix


PARTE

Configurando

1

Há uma necessidade crescente de sistema de informação experientes e de rede testadores de penetração, ea demanda tem excedido a capacidade dos profissionais pentest toda a tecnologia da informação (TI). O número de conferências, bootcamps, treinamento e faculdades que oferecem cursos relacionados à penetração profissional testes é crescente, mas eles não podem manter o ritmo com as regulamentações governamentais e pressão dos clientes, que estão forçando as empresas a aumentar o número e escopo, de testes de penetração dentro de sua infra-estrutura. Para complicar, o plano de carreira para profissionais de teste de penetração tem sido longa. Até recentemente, as únicas pessoas capazes de contribuir para uma projeto de teste de penetração foram aqueles com muitos anos de experiência no sistema segurança. No entanto, como a profissão está se tornando mais maduro, educacional e organizações de pesquisa começaram a refinar as metodologias e técnicas de ataque dentro da profissão de segurança da informação do sistema. Penetração hoje, profissionais teste está sendo ensinado a jovens profissionais apenas entrando na indústria de TI, e empresas estão contratando estudantes sem experiência prática. Este livro é dividido em três partes -Configurando, Executando um pentest, e Envolvendo tudo. Na primeira parte do livro, vamos discutir os profissionais dentro de uma equipe de teste de penetração e habilidades necessárias para ser um membro da equipe eficaz. Mais importante, nós vamos criar o nosso próprio laboratório pentest, para que possamos transferir teórica conhecimento em prática, a experiência hands-on. Exercícios no final de capítulos sido incluído, que são projetados para construir sobre as lições neste livro. Um teste de penetração é mais do que atacar e comprometer um sistema. Na Parte I deste livro, discutiremos como gerenciamento de projetos é um componente integral de um projeto de teste bem sucedido de penetração. Vamos olhar para as diferentes fases dentro de um projeto e identificar as áreas onde o envolvimento pentest engenheiro é introduzido no processo. Ao compreender pentest projetos desde a concepção até a conclusão, os engenheiros pode entender melhor seu papel no apoio aos objectivos do seu cliente de negócios. Compreender os desafios e oportunidades únicas dentro de penetração projetos de teste não é restrito a apenas pentest engenheiros. Gestores e stakeholders que nunca participou de um teste de penetração profissional precisa entender os diferentes papéis, responsabilidades e processos que contribuem para o sucesso conclusão do projeto. Parte I deste livro irá examinar as medidas necessárias para ambos engenheiros e gestão para se preparar para um teste de penetração profissional.


CAPÍTULO

Introdução

1

SOLUÇÕES NESTE CAPÍTULO Sobre o livro ............................................... ........................................... 4 Sobre o DVD ............................................... ............................................ 7

INTRODUÇÃO Без умения и сило ни причем. -Provérbio russo: "Skill vai realizar o que é negou à força. " (Mertvago, 1995)

Há uma abundância de livros sobre o mercado de discutir como usar os vários "Hacker" ferramentas, incluindo alguns livros para que eu contribuíram capítulos. No entanto, testes de penetração profissional não são todos sobre ferramentas -que requerem habilidades além de simplesmente entender como usar uma ferramenta, incluindo o conhecimento do projeto compreensão, gestão e metodologias a seguir, e compreensão arquitetura de projetos de sistemas e de rede. O objetivo principal deste livro é a fornecer ao leitor uma compreensão profunda de todas as facetas de um teste de penetração, ao invés de simplesmente discutir qual ferramenta usar e quando. O livro eo DVD que acompanha foram escritas para serem usados em uma variedade de maneiras diferentes. A intenção inicial é oferecer um programa de treinamento formal em testes de penetração. O DVD inclui cursos de vídeo que têm sido usados para ensinar como usar as metodologias pentest atual e aplicar essas metodologias para uma teste de penetração. Além disso, este livro pode ser usado em cursos técnicos -em qualquer instituições de ensino ou "Boot eventos do acampamento "treinamento -para fornecer aos leitores uma maneira de aprender como usar ferramentas hacker vários de uma forma controlada e segura, através do uso de um laboratório pentest pessoal. O objetivo final deste livro é a fornecer aos gestores uma compreensão do que atividades de engenharia ocorrer dentro um teste de penetração profissional, que precisa ser relatado, como tirar métricas, monitorar a qualidade, identificar os riscos, e outros processos essenciais, de modo de gestão que

3

Teste de Invasão profissional Copyright © 2010 by Syngress Press Inc. Todos os direitos de reprodução em qualquer forma reservada.

4 CAPÍTULO 1 Introdução

pode fornecer os recursos, treinamento e financiamento necessário para o sucesso completa pentest um. Este livro não pretende ser uma referência completa a todos os tópicos relacionados ao testes de penetração, mas sim, é um guia de conduta profissional testes de penetração desde a concepção à conclusão. Volumes foram escritos sobre cada tema discutido dentro deste livro, que vai exigir-nos a expandir nosso conhecimento através de outros fontes. Para acelerar o processo de aprendizagem, exercícios práticos são fornecidos em cada capítulo, escrito em uma maneira que irá auxiliar na localização de fontes autorizadas e expandir as habilidades do leitor. Outra característica do DVD é que inclui imagens de servidor várias (na forma de LiveCDs ou máquina virtual [VM] images) que pode ser usado em uma penetração laboratório de teste. Estes LiveCDs são projetados especificamente para imitar exploráveis do mundo real servidores para que possamos praticar as habilidades aprendidas no curso de vídeo e o livro de uma maneira segura e legal. Exemplos no livro e os vídeos referência a esses LiveCDs, e depois os leitores criarem a sua própria teste de penetração laboratório, eles podem acompanhar, exatamente como apresentado no material.

SOBRE O LIVRO Este livro é diferente da maioria, em que existem dois meios em que você aprende sobre o tópico de testes de penetração. O primeiro é o material impresso eo segundo é o DVD que o acompanha. Ler de capa a capa, o material impresso fornece ao leitor uma forma sistemática de aprender como os testes de penetração são conduzidos de forma profissional e que a gestão e habilidades de engenharia são necessários para concluir com êxito uma pentest. O DVD inclui dois cursos de vídeo diferentes, que têm sido usados para ensinar habilidades penetração fundamental e intermediário teste online para estudantes de todo o mundo. Mesmo que o DVD pode ser utilizado independentemente do livro, o material no DVD e no livro se complementam, e devem ser usados em tandem. O DVD também contém imagens LiveCD de servidores que podem ser usados como plataformas de aprendizagem para que possamos reforçar o que nós cobrimos no livro ou no vídeos.

Público-Alvo Existem três grupos de pessoas que podem se beneficiar da leitura deste livro e executar os exercícios no final de cada capítulo: ■

Novos indivíduos ao tópico de testes de penetração profissional

■

Profissionais testadores de penetração que querem aumentar a "Capacidade maturidade "de seus processos atuais pentest

■

Gestão de tentar entender como conduzir um teste de penetração

Sobre o livro 5

Para aqueles que são novos para testes de penetração profissional, o conhecimento da sistemas de computador ou dispositivos de rede já deve estar compreendida -o campo de teste de penetração não é uma posição de nível de entrada dentro de Tecnologia da Informação (TI) e conhecimento prévio de sistemas de computação e as redes que lhes dão suporte é necessário. Embora este livro irá abranger temas relacionados com a TI, incluindo protocolos e configuração do sistema, que não se destina a instruir os leitores sobre o mecanismos de comunicação utilizados em redes. Aqueles que têm experiência em TI será capaz de usar o conhecimento pessoal de todo este livro como uma fundação para aprender os desafios únicos para testes de penetração, e como conduzir a penetração testes dentro de uma organização ou para os clientes. Aqueles de nós que têm realizado ou participado de um teste de penetração será compreender que as ferramentas não são a única coisa necessária para completar com sucesso uma Pentest. Metodologias são essenciais para assegurar que o avaliador identifica todos os vulnerabilidades na rede do cliente. O livro eo vídeo intermediária curso sobre o DVD pode ser usado para incorporar metodologias em um pentest projeto e fornecer ao leitor uma compreensão do papel de um engenheiro pentest dentro do projeto como um todo. Novos gerentes de projetos de projetos de teste de penetração são frequentemente confrontados com dramaticamente desafios diferentes daqueles encontrados em outros projetos de TI, tais como aplicação e projetos de engenharia. Uma sólida compreensão do projeto de gestão mento e os desafios no campo da PenTesting são essenciais para concluir com êxito um teste de penetração profissional. O livro fornece informações benéficas para gerentes de projetos que têm a tarefa de supervisionar um Pentest e discute formas de integrar os quadros de gestão formal de projetos com metodologias relacionadas com testes de penetração.

Como usar este livro Embora o livro e os exercícios podem ser usados de forma independente, pretende-se ser utilizado com o DVD que o acompanha. Os exemplos dentro de cada capítulo usam frequentemente material a partir do DVD, que pode ser usado pelo leitor para repetir os exemplos um laboratório. Exercícios práticos estão incluídas no final de cada capítulo, que pode ser usado para expandir a compreensão do tema do capítulo. Os capítulos do livro estão organizados em três seções distintas: Parte 1 aborda temas relacionados com a criação de um laboratório pentest e conhecimento essencial para a profissão de testes de penetração, incluindo a ética, metodologias de gias, métricas e gerenciamento de projetos. Os capítulos seguintes estão incluídos no Parte 1: ■

Ética e Hacking: Discute a ética e as leis específicas para testes de penetração

■

Hacking como uma carreira: Identifica planos de carreira, certificações, e as informações nas organizações de segurança que podem ajudar no desenvolvimento de carreira

■

Configurando o Lab: um laboratório de teste Designs corporativo ou privado penetração


■

Criação e Utilização de Metas pentest em seu laboratório: Usa cenários turnkey e do mundo real alvos no laboratório de teste de penetração

■

Metodologias: Analisa as diferentes metodologias disponíveis para proprojetos de teste de penetração profissional

■

Pentest Metrics: Identifica os diferentes métodos de aplicação de métricas para vulnerabilidades encontradas em um projeto de teste de penetração

■

Gestão de uma pentest: Explica os membros da equipe, papéis e organizacional estruturas que influenciam o sucesso de um teste de penetração

Parte 2 aborda o teste de penetração real e conduz o leitor através da diferentes etapas utilizado para examinar os sistemas e redes-alvo para vulnerabilidades e exploits usando uma metodologia peer-reviewed. ■

Coleta de informações: Coleta informações sobre um sistema de destino

■

Identificação de vulnerabilidade: examina os sistemas alvo para possíveis vulnerabilidades

■

Verificação de vulnerabilidade: As tentativas de explorar vulnerabilidades descobertas

■

Comprometer uma escalada do sistema e Privilege: Encontra maneiras de "Próprio" o sistema

■

Mantendo o acesso: Discute como se manter no sistema explorado

■

Cobrindo seu Faixas: Manipula o sistema de permanecer escondidos

Parte 3 embrulha o pentest projeto, discutindo relatórios, arquivamento de dados, e preparação para o teste de penetração que vem. ■

Comunicação dos resultados: Grava um relatório e verificar os fatos

■

Arquivamento de dados: Salva os dados de teste de penetração Limpando seu laboratório: Salva de configuração e dados do laboratório

■ ■

Planejamento para sua pentest Next: Identifica necessidades de formação e obtenção de recursos

Cada capítulo inclui informações tanto para os engenheiros e gerentes de projeto. A adição de tópicos de gerenciamento de projetos dentro de um livro sobre testes de penetração oferece aos engenheiros uma melhor compreensão do papel do engenheiro dentro do projeto. Ele também fornece o gerente de projeto uma visão do que a tarefas do projeto os engenheiros devem executar para concluir com êxito o projeto no prazo e sob orçamento. Para aqueles indivíduos apenas começando no mundo dos testes de penetração, o maneira de tirar o máximo proveito deste livro e DVD é começar por ler a Parte 1 do livro. Depois disso, ver os vídeos curso fundamental no DVD enquanto trabalhava através da Parte 2 do livro. A seção final do livro, Parte 3, fornece algumas insight sobre tópicos adicionais sobre testes de penetração profissional, mas pode ser salva

Sobre o DVD 7

até que os fundamentos são bem compreendidos e os leitores está pronto para avançar suas habilidades. Engenheiros que tenham experiência em testes de penetração deve rever material na Parte 1 deste livro como uma reciclagem. Metodologias capítulo 6, deve ser lido com cuidado, pois metodologias compreensão é fundamental no vídeo intermediária é claro. As partes 2 e 3 do livro deve ser lido completamente para que os engenheiros pode entender melhor seu papel em um projeto profissional teste de penetração, especialmente um que incorpora um gerente de projeto da equipe pentest projeto. Depois de ler parte 2, ver o curso de vídeo intermediária para entender melhor como o Open Source Security Testing Metodologia Manual (OSSTMM) pode ser usado eficazmente em um pentest. Gerentes, especialmente do projeto, pode restringir a sua leitura para o livro e não precisa ver qualquer um dos vídeos no DVD, a menos que queiram melhor compreender as metodologias envolvidas em um teste de penetração. Todos os capítulos o livro deve ser lido e entendido pela administração gerencial, pois desafios e soluções são intercaladas ao longo do livro, e não apenas em alguns capítulos. Os exercícios ao final dos capítulos são destinados tanto para os gestores e engenheiros e deve ser feito por ambos os grupos. Engenheiros, vai beneficiar recebendo exercícios práticos e gerentes serão beneficiados através da compreensão das complexidades e requisitos de tempo necessários para realizar um teste de penetração. Além disso, os exercícios fornecer aos gestores os meios para identificar as melhores práticas da indústria.

Sobre o DVD O DVD inclui os seguintes materiais: ■

Cursos oferecidos pelo vídeo Heorot.net 1. Penetração Heorot.net Teste Curso Fundamentos (HPTF) 2. Heorot.net Intermediate Course Teste de Invasão (HIPT)

■

Imagens de servidor para usar em um laboratório de teste de penetração 1. De-ICE LiveCDs -servidores que oferecem desafios diferentes de hacking níveis de dificuldade, destinados a imitar as vulnerabilidades encontradas no mundo real servidores 2. pWnOS -um servidor projetado com vulnerabilidades que podem ser exploradas usando código de exploração da www.milw0rm.org; destinado a ser executado dentro uma VM 3. Hackerdemia -uma plataforma de formação LiveCD usado para aprender várias ferramentas de teste de penetração 4. WebGoat -um servidor Web configurado com web-based vários gruhabilidades; desenvolvido e mantido pela Open Web Application Security Project (OWASP) 5. BackTrack -um LiveCD distribuição Linux que contém múltiplas pentest ferramentas já instalado e pronto para uso


Material curso Dois cursos de vídeo são fornecidos no DVD, que ensinam metodologias utilizadas dentro de um teste de penetração profissional. O primeiro curso, "Heorot.net Penetração Curso Fundamentos de testes "(HPTF), utiliza a metodologia para ensinar ISSAF fundamentos testes de penetração e não assume que o aluno tenha qualquer experiência dentro do campo de testes de penetração, pentest metodologias, ou o ferramentas utilizadas em um pentest projeto. O segundo curso, "Heorot.net Curso de Teste de Penetração intermediária " (HIPT), utiliza a metodologia OSSTMM e ensina a penetração mais avançados técnicas de teste. O HIPT assume que o aluno já está familiarizado com todas as as ferramentas disponíveis para um engenheiro de teste de penetração. Cada curso foi desenvolvido no http://Heorot.net e caminha o aluno através as etapas envolvidas em um teste de penetração profissional. Na versão online do cursos, os alunos são obrigados a realizar um teste de penetração em um servidor e apresentar os resultados pentest para obter a certificação no curso. O DVD contém todos os LiveCDs De ICE-referenciada na instrução de vídeo (exceto para o imagens do servidor de certificação) e não exigem que o espectador se inscrever para o curso on-line. Qualquer um que queira obter o HPTF ou certificação HIPT vai necessidade de se inscrever para os cursos on-line em http://Heorot.net separadamente.

Material de referência Informações relativas à rede e protocolos do sistema são incluídos na Hackerdemia LiveCD como uma referência rápida. A informação inclui principalmente Request for Comments (RFC) documentos, bem como ferramentas utilizadas em um profissional teste de penetração. O disco também inclui tutoriais Hackerdemia sobre como utilizar algumas das várias ferramentas mencionadas neste livro, e é usado em exemplos dentro o livro. Outros materiais de referência relacionadas aos cursos de vídeo são fornecidos no DVD, incluindo roteiros de vídeo curso e slides do PowerPoint para referência rápida. As metodologias utilizadas nos cursos de vídeo estão disponíveis no BackTrack LiveCD.

LiveCDs Imagens LiveCDs e VM são usados como exemplos neste livro e nos cursos de vídeo no DVD. O uso de LiveCDs, ao invés de construir um servidor a partir do zero, salva nós uma quantidade imensa de tempo, especialmente se as tentativas de hacking crash do sistema. Com uma imagem de LiveCD ou VM, uma reinicialização rápida do sistema ou VM irá restaurar a servidor de volta ao seu estado original, em questão de minutos. Além disso, usando LiveCDs reduz a necessidade de sistemas de computação numerosos dentro de um laboratório de testes de penetração. VMs são projetados para permitir que vários servidores para rodar em um computador host, usando um aplicação como o VMware, Xen, ou Hyper-V.

Sobre o DVD 9

Hackerdemia O LiveCD Hackerdemia fornece um alvo para a prática das várias ferramentas usadas dentro um teste de penetração. A imagem do servidor não inclui qualquer vulnerabilidades conhecidas, mas inclui um grande número de serviços que irá responder a sondas e comunicação pedidos. O LiveCD contém um wiki, que fornece o espectador com tutoriais que pode ser repetido usando o servidor Hackerdemia-se como um alvo.

De-ICE Três imagens LiveCD estão incluídos no DVD, que nos fornece teste de penetração desafios encontrados no mundo real servidores. Estes LiveCDs são alvo servidores que vamos utilizar para a prática de técnicas de hacking contra, após a metodologias discutidas no Capítulo 6. Dois dos LiveCDs são usados na HPTF curso e são considerados desafios mais fácil -Disk 1,100 e 1,110 Disk. O LiveCD outro é usado no curso HIPT e é mais desafiador. Disk 2,100 não é usado no livro e só deve ser tentada após o anterior desafios foram resolvidos (incluindo o pWnOS, WebGoat, e os outros dois De-ICE discos). Soluções para os desafios De-ICE LiveCD não são fornecidos no DVD ou o livro, mas pode ser encontrado nos fóruns Heorot.net.

pWnOS Desenvolvido e mantido pela Brady Bloxham, o pWnOS imagem VM é um Linux distribuição com vulnerabilidades de serviços que podem ser exploradas usando scripts disponíveis em www.milw0rm.org. Brady Bloxham é um graduado da Universidade Brigham Young que trabalhou como auditor de TI com a KPMG, e atualmente está empregado com a USAF como um "Rede Especialista em guerra. "O pWnOS imagem VM é usado para aprender a encontrar vulnerabilidades e como usar o código para explorar a descoberto vulnerabilidades.

WebGoat Concebido e mantido pela Open Web Application Security Project (OWASP), este servidor Web contém mais de 30 exemplos e tutoriais sobre como explorar bem conhecidos baseados na Web vulnerabilidades. WebGoat pode ser executado em múltiplas plataformas, incluindo Linux, Windows, e Berkeley Standard Distribution (BSD).

BackTrack BackTrack é uma distribuição Linux que contém inúmeras ferramentas de teste de penetração já está instalado e está disponível como um LiveCD do www.Remote-Exploit.org. O versão incluída no DVD que acompanha é uma versão mais antiga, e tem sido incluídos intencionalmente, porque alguns arquivos necessários para replicar os exemplos o livro e os vídeos podem ser encontrados apenas na versão 1 e versão 2 do BackTrack (Especificamente arquivos de dicionário). As versões mais recentes podem ser obtidos online, se necessário. Em maioria dos casos, um teste de penetração do mundo real, as versões anteriores do BackTrack são mais do que suficiente.


RESUMO À medida que navegar através do texto do livro, tenha em mente que a intenção do livro é fornecer informações sobre todos os aspectos de um teste de penetração -não apenas a parte onde examinamos e atacar sistemas de destino. Muita preparação é necessária antes de um teste de penetração pode começar, e muita atividade ocorre na conclusão também. Parte 1 cobre o básico sobre como se preparar para um teste de penetração, bem como criação de um laboratório para a prática as habilidades aprendidas neste livro. Ele também discute ética e obrigações legais dos testadores de penetração e um roteiro profissional para aqueles interessado em fazer testes de penetração de uma carreira de tempo integral. Parte 2 leva-nos através dos passos dentro do teste de penetração real e fornece informações tanto para os engenheiros e gestores. Metodologias diferentes são discutidos dentro Parte 2, que incorpora LiveCDs encontrados no DVD. Nesta fase do livro, o HPTF e cursos HIPT pode ser usado para melhorar a compreensão de como metodologias de desempenhar um papel em um teste de penetração bem sucedida. Parte 3 do livro se concentra no que acontece depois de um teste de penetração é concluiu. Dados sobre sistemas do cliente precisam ser arquivados de forma segura, relatórios devem ser gerados, e as necessidades de gestão para se preparar para os próximos teste de penetração. Todas as três partes podem ser lidas em qualquer ordem é mais benéfica para os leitores, dependendo de sua experiência e as necessidades atuais, no entanto, informações tanto para engenheiros e gerentes é intercalada por todas as capítulos. Em uma nota mais pessoal, se houver alguma dúvida sobre o material no livro ou no DVD, as possibilidades são elas foram respondidas nos fóruns Heorot.net. O fóruns em http://Heorot.net deve ser considerado uma extensão do livro, onde podemos obter up-to-date informações sobre os tópicos abordados no livro e na vídeos. Se há questões adicionais que não foram respondidas no fórum, ou que não podem ser abordadas em discussão aberta, não hesite em contactar-me no e-mail criado especificamente para os leitores deste livro: [email protected]. Que o e-mail pode ser usado para fornecer feedback sobre o livro também. Eu estou sempre interessado em ouvir de meus leitores e espero ouvir de você logo.

As soluções da FAST TRACK Sobre o livro ■

O material impresso oferece ao leitor uma forma sistemática de aprender testes de penetração são realizados profissionalmente e que a gestão e habilidades de engenharia são necessários para completar com sucesso uma pentest.

■

Ferramentas de hacking não são a única coisa necessária para completar com sucesso uma Pentest, metodologias também são essenciais para garantir que o avaliador identifica todas as vulnerabilidades na rede do cliente.

Referência 11

Sobre o DVD ■

Dois cursos de vídeo são fornecidos no DVD, que ensinam metodologias usado dentro de um teste de penetração profissional -o ISSAF eo OSSTMM.

■

Cinco servidores diferentes são fornecidos no DVD, que pode ser usado para configurar um laboratório de testes de penetração.

■

Os servidores podem ser usados como LiveCDs ou VMs, economizando uma quantidade imensa de tempo, enquanto a construção de um laboratório e prática dos métodos de hacking.

REFERÊNCIA Mertvago, P. (1995). O dicionário Russo-Inglês comparativa de provérbios russos e provérbios. New York: Livros Hippocrene.


CAPÍTULO

Ética e Hacking

2

SOLUÇÕES NESTE CAPÍTULO Por que ficar de Ética? .................................................. ................................... Padrões éticos ................................................ ..................................... Leis Crime computador ............................................... ................................. Obter permissão para Hack .............................................. ............................

15 19 24 32

INTRODUÇÃO Беззаконным закон не писан. -Provérbio russo: "Leis não estão escritos para o sem lei. " (Mertvago, 1995)

Em uma das classes que eu ensino, eu pergunto aos meus alunos "O que é a diferença entre Chapéu branco e hackers Black Hat? "Inevitavelmente, a questão da ética vem à tona. Para aqueles que acreditam ética é o que separa os dois grupos, que a resposta está incorreta (O "Correta" resposta é "Permissão"). Uma definição de hackers White Hat inclui aqueles indivíduos que realizam avaliações de segurança dentro de um contratuais acordo, enquanto que Black Hats são aqueles indivíduos que conduta não autorizada penetração ataques contra sistemas de informação. Mesmo Chapéus Black vezes demonstrar comportamento ético. Dê uma olhada na história de Adrian Lamo, que informou suas vítimas os passos ele levou para se infiltrar na rede, juntamente com formas de proteger sua rede de intrusão no futuro. Além disso, Lamo tomou medidas extraordinárias para evitar que dados ou perdas financeiras enquanto na rede da vítima eo reconhecimento recebido e apreciação de muitas empresas, por sua vez na identificação de vulnerabilidades em sua presença na Internet. Isso mostrou uma forte convicção de ética por parte de Lamo; o único problema era que sua definição de comportamento ético era contrária à legislações dos Estados-Unidos, que acabou resultando em sua condenação de uma contagem de crimes informáticos em 2004.

13 Teste de Invasão profissional Copyright © 2010 by Syngress Press Inc. Todos os direitos de reprodução em qualquer forma reservada.

14 CAPÍTULO 2 Ética e Hacking

Para a maioria das pessoas no mundo dos negócios, a ética é um aborrecimento, uma vez por ano encontradas durante o treinamento obrigatório ética, apresentado em PowerPoint chato slides ou Webcasts monótono. No entanto, para aqueles de nós que pensamos de nós mesmos como chapéus brancos, somos pressionados, não só para entender as restrições éticas da nossa profissão, mas devemos também activamente impulso para uma melhoria do comportamento ético dentro da comunidade de segurança da informação. Federal e governos estaduais estão tentando forçar as empresas americanas a agir ética por meio de exigências legais, tais como a Lei Sarbanes-Oxley (SOX) e o Health Insurance Portability and Accountability Act (HIPAA), mas este tipo de ação pode ser apenas um pouco eficaz no seus próprios. O que é necessário para avanços reais em comportamento ético dentro da segurança da informação é a combinação de obrigatória e suportado pela comunidade requisitos de ética em toda a gama da empresa mundo, a estrutura de apoio à gestão, e os engenheiros que projetam e apoio a infra-estrutura de comunicação e dados. Eu já mencionei o esforço do governo, mas o apoio da comunidade é encontrado na forma de aderência e aplicação dos requisitos da ética como uma condição de obtenção ou manutenção de certificações de segurança da informação, como o Certified Information Systems Security Professional (CISSP), que dedica um dos dez segurança domínios apenas para Leis, Investigações e Ética. Código de Ética Cânones [(ISC) 2] ■

Proteger a sociedade, da comunidade, ea infra-estrutura

■

Agir com honradez, honestidade, justiça, responsabilidade, e legalmente Diligente e fornecer serviços competentes para diretores

■ ■

Advance e proteger a profissão

A ênfase na ética dentro da nossa comunidade é aquele que precisa ser constantemente abordados, porque muitas vezes é ignorado ou rebaixado para uma nota de rodapé em nossa lista de metas anuais como profissionais. Inevitavelmente, durante o curso da nossa carreira, uma decisão ética nos é imposta, e nós temos que fazer a escolha certa. Infelizmente, a escolha certa muitas vezes não é o mais conveniente. De acordo com Hollywood, uma das pessoas principais razões decidir violar regras ético ou legal é por causa de dinheiro. Embora a mídia tenta definir o atividades do computador elemento criminal em torno deste motivo (simplista) mesmo, é realmente difícil definir exatamente o que constitui um hacker ético ou antiético. Parte disso é por causa das leis constantemente mudando em todo o mundo referecibercrime ing. Para complicar as coisas, as leis de um país não são compatíveis com as leis de outro país, e em alguns casos, eles até se contradizem outras. Devido a esta situação, é quase impossível definir com precisão ética comportamento em todos os cenários. O melhor que podemos fazer para a nossa discussão é falar sobre algumas do consenso mais geral sobre a ética e os rótulos usados para descrever comportamento antiético. Admito que essas definições são bastante mal definidos e

Por que ficar de Ética? 15

realmente só beneficiam os meios de comunicação quando eles hype ataca o sistema malicioso. No entanto, vamos falar sobre eles.

POR QUE FICAR ÉTICA? Apesar de eu entender que a motivação pelo dinheiro foi muito simplista uma razão para tornar-se um criminoso ou não, o dinheiro, de fato, desempenhar um papel na escolha de fazer parte de a comunidade de hackers no contexto de testes de penetração de condução agora, há um monte de dinheiro que está sendo feito dentro da segurança da informação. Nesta seção, vamos discutir os diferentes tipos de hackers de computador, bem como o papel que desempenham dentro deste campo.

NOTA Eu acho que um aviso seria necessário neste ponto: eu não sou um advogado, e fortemente sugiro que você procure um advogado antes (e talvez durante) um projeto de teste de penetração. O dinheiro gasto com um advogado para obter essa peça correta é muito menos do que contratar um para defender o seu ações após algo der errado.

Black Hat Hackers Em segurança de computadores, chapéus pretos são aqueles que conduzem a penetração não autorizada ataques contra sistemas de informação. Embora a razão por trás desta atividade varia de curiosidade para o ganho financeiro, o comum é que o façam sem permissão. Em alguns casos, estes chapéus negros são realmente localizadas em outros países e suas atividades não violem as leis de seu país. No entanto, suas ações ainda pode ser considerada ilegal quando violam as leis de qualquer país do -alvo situa-se (dependendo das agências governamentais do país do alvo) para não falar que Black Hats usam vários servidores localizados em todo o globo como proxies para os seus ataques. A dificuldade reside em processar essas Chapéus Black quando seu próprio país não vejo nada de errado com suas ações. Esta dificuldade pode ser melhor demonstrado pela prisão de Dmitry Sklyarov, em 2001. Dmitry foi preso depois de chegar aos Estados Unidos para assistir a segurança DefCon conferência. Sua prisão estava relacionada com seu trabalho em derrotar a cópia proteção de e-books e do método de criptografia projetado pela Adobe Systems. Dmitry foi preso por violar o Digital Millennium Copyright Act (DMCA), que se destina a impedir as pessoas de encontrar maneiras de contornar ou derrota criptografia de software. O problema era que a DMCA é uma lei de direitos autorais dos EUA e não é aplicável na Rússia, onde Dmitry conduzido e publicou sua pesquisa. Apesar disso, o FBI prendeu, enquanto em solo americano. Eventualmente, todas as acusações foram retiradas em troca de seu testemunho.


Nos Estados Unidos, as ações Dmitry foram consideradas ilegais, mas não houve tais proibições em seu próprio país -ele não fez nada para violar leis de direitos autorais no interior da Rússia. De fato, processos sobre os esforços subseqüentes de Dmitry exonerado ele ea empresa onde trabalhava. Independentemente disso, o trabalho de Dmitry foi feito sem a permissão da Adobe Systems e não minar o esquema de proteção contra cópia utilizado pela Adobe Systems, que se encaixa na definição de um chapéu preto. Faz isso Dmitry fazer um chapéu preto, então? Baseada estritamente em nossa definição, o que faz. Mas se não era ilegal, por que deveria ser considerado ação inapropriado? Vou deixá-la até a você decidir se esse rótulo é apropriado ou não no caso de Dmitry.

Notes from the Underground ... Hero criminal ou Estado? Um monte de atividade criminosa está sendo realizado para promover a ideologia política ou religiosa. O Estados Unidos e Alemanha têm acusado a China de conduzir guerra cibernética contra os seus militares e corporações (Messmer, 2000); Estónia, acusou a Rússia de derrubar o infra-estrutura de comunicação do país (Bright, 2007); e Coreia do Sul acusou a Coreia do Norte de guerra cibernética (Leyden, 2008; a Coréia do Norte spyware alvos do Exército Sul, 2008). Dependendo de que lado do espectro político ideológico você está em depende de como você é visto.

Existem algumas outras questões que complicam o assunto ainda mais. Alguns exceções existem, especialmente em relação à pesquisa e academia. Apesar destas exceções, as empresas têm ameaçado processos contra alguns pesquisadores que poderia ter sido bem dentro dos seus direitos para realizar exames e testes contra código proprietário usado por empresas de software. Um exemplo disso ocorreu em 2005 quando Michael Lynn tentou divulgar informações sobre uma falha dentro da Cisco Internetwork Operating System (IOS). Michael estava originalmente programado para discutir a falha na conferência Black Hat de segurança. Cisco eventualmente levou à exceção este tema e ameaçou tomar medidas legais se Michael apresentou suas descobertas sobre a falha na conferência. Michael, de fato, apresentar seus resultados, apesar de sua acordo em contrário e mais tarde foi processado pela Cisco. O processo foi resolvido fora do tribunal, mas Michael tem uma injunção permanente contra ele que o impede de discutir a falha ou a explorar. Novamente, há uma questão de saber se Ações de Michael foram ilegais, maliciosas, ou útil para empresas que possuíam Dispositivos Cisco, deixando que eles sabem sobre a falha. Este é o problema com rótulos -existem múltiplos pontos de vista, e não são tão simplista como os rótulos tendem a implicar. Independentemente disso, estas etiquetas são utilizadas no indústria e pela mídia para descrever o conflito entre aqueles que os sistemas de ataque legal e ilegalmente. Vamos supor que Black Hats são aqueles indivíduos que cometem um ato ilegal, que se travado iria levá-los a gastar o tempo na prisão. Isso evita o filosofia inteira de "Inocentes até culpado ", mas vamos correr com a noção de agora.

Por que ficar de Ética? 17

Alguns dos mais famosos hackers Black Hat do passado foram capazes de transformar suas infortúnio em uma carreira lucrativa após cumprir pena atrás das grades, ou depois completar liberdade condicional. Hoje, esse passeio rápido para a fama e riqueza é muito bonito inexistentes. Uma pena perusing site é o "Computer Crime & Intelectual Seção de propriedade "do Departamento de Justiça dos EUA Web site (www.usdoj.gov/ cibercrime / criminal / cccases.html). Lá, você encontrará uma lista de computador atual casos crime, bem como aqueles que remonta a 1998. Incluídos na lista é uma estimativa (Em dólares) de danos ea punição para o ato criminoso. Lá, você vai encontrar uma série de punições de 0 meses a 108 meses (EUA versus Salcedo et al., para invadir rede Lowe do computador com a intenção de roubar informações de cartão de crédito) e multas que variam de R $ 0 a US $ 7,8 milhões (EUA versus Osowski, contabilistas que emitidos ilegalmente ações da Cisco para si). Sim, a possibilidade de fazer dinheiro ilegalmente existe, no entanto, a punição associada a ser pego é objetivo de desencorajar tais atividades. E como o tempo passa, mais leis estão sendo adicionado para fazer a punição para crimes de computador muito mais grave.

White Hat Hackers Uma definição de hackers White Hat inclui aqueles indivíduos que realizam avaliações de segurança dentro de um acordo contratual. Embora essa definição funciona na maioria dos casos, não há nenhum componente legal ou ético associado a ele. Quando comparado com a definição de Black Hat, essa omissão torna-se flagrantemente óbvia. No entanto, esta é a definição que a maioria das pessoas pensa quando se fala sobre chapéus brancos e irá trabalhar para a nossa discussão. Assim como nos filmes do Velho Oeste, hackers de chapéu branco são considerados os mocinhos. Eles trabalham com as empresas para melhorar a postura do seu cliente de segurança em o sistema ou o nível de rede, ou vulnerabilidades e exploits que encontrar poderia ser usado por um usuário malicioso ou não autorizado. A esperança é que uma vez por vulcapacidade ou explorar é descoberto por um chapéu branco, a empresa vai reduzir o risco. Há um argumento constante sobre a questão de quem é mais capaz -o Black Hat Hacker ou o hacker de chapéu branco. O argumento é algo como isto: Os hackers Black Hat têm a vantagem porque eles não têm de seguir todas as regras de engajamento. Embora isso pareça válido, há algumas questões que são ignorados. O maior deles é a educação. Não é raro encontrar que a maioria dos White Hackers de chapéu são contratados por empresas com orçamentos de formação, ou empresas que incentivam seus funcionários a aprender técnicas de hacking, enquanto no trabalho. Este proporciona o Chapéu Branco da enorme vantagem sobre o Chapéu Negro. Muitas destas oportunidades de formação incluem as mais recentes técnicas utilizadas por hackers que se infiltram redes corporativas. Além disso, os hackers de chapéu branco que são empregados para as grandes organizações têm acesso a recursos que o Black Hat faz não. Isso pode incluir arquiteturas complexas usando state-of-the-art protocolos e dispositivos, novas tecnologias, e até mesmo equipes de pesquisa e desenvolvimento. Apesar destas vantagens, hackers de chapéu branco, muitas vezes têm restrições colocadas eles durante suas atividades. Muitos ataques podem causar falhas no sistema ou, pior, perda de dados.


Se estes ataques são realizados contra sistemas do mundo real, a empresa poderia facilmente perder receitas e clientes. Para evitar esses tipos de perdas, chapéus White deve ser muito seletivo de que eles fazem e como eles fazem isso. Muitas vezes, apenas os exames mais delicados ou ataques podem ser usados contra as máquinas de produção, e os exames são mais agressivos relegado para redes de teste, que muitas vezes não verdadeiramente replicar o mundo real. Isto é assumindo que a rede de teste ainda existe. Não é raro encontrar produção sistemas que são tão dispendiosos que não é economicamente viável para fazer várias compras simplesmente para que a rede de teste. Nesses tipos de casos, é muito difícil com um chapéu branco de saber a verdadeira extensão da vulnerabilidade de sistemas ou de exploração. De uma perspectiva financeira, especializada em segurança da informação tem sido muito benéfico. Salários continuaram a aumentar porque as exigências federais para auditoria e avaliações de segurança têm forçado muitas empresas a procurar indivíduos com a capacidade única para conduzir testes de penetração eficaz. Muito longe são os dias quando as empresas estavam contentes com scans básica Nessus, e nada mais. Hoje, os profissionais de segurança estão na demanda, e as empresas percebem que a segurança não é simplesmente um firewall ou um software antivírus, mas um ciclo de vida, envolvendo políticas de segurança, treinamento, o cumprimento, avaliações de risco e infra-estrutura.

Gray Hat Hackers Nós já discutimos o problema tentando atribuir rótulos às pessoas dentro desta indústria. Devido a esta dificuldade, um novo rótulo foi criado como uma espécie de catchall. O prazo Gray Hat se destina a incluir pessoas que normalmente se conduzir dentro a letra da lei, mas pode ultrapassar os limites um pouco. Pessoas que realizam reverso engenharia de código de software proprietário, sem intenção de obter ganho financeiro de seus esforços tendem a ser lançada nesta categoria. Um exemplo de alguém que muitos consideram um chapéu cinza é Jon Johansen, também conhecido como DVD Jon. Jon se tornou famoso por seus esforços no sentido inverso DVD engenharia conteúdo sistemas de codificação, destinado a evitar a duplicação de DVDs. Preso e julgado em o sistema judiciário norueguês, Jon atividades foram encontradas para não ser ilegal, e ele foi encontrado não culpado de violar direitos autorais ou norueguês leis nacionais.

Ferramentas e Armadilhas ...

Você provavelmente já cometeu um crime de computador As leis que definem o que constitui um crime de computador estão mudando constantemente. Infelizmente, às vezes os juízes não entendem a tecnologia ou, como visto no caso de "Serra Design corporativo, Inc., versus David Ritz, "(Sierra Corporate Design v. Falk) onde o juiz determinou que a realização de um sistema de nomes de domínio (DNS) de transferência de zona (em execução "Host -L "em um computador) constitui atividade criminosa. Às vezes, parece que você apenas não pode ajudar mas cometer um crime.

Normas Éticas 19

NORMAS ÉTICAS Tem havido um esforço para tentar codificar as responsabilidades éticas da informação especialistas em segurança para fornecer os empregadores e os empreiteiros que contratam uma compreensão de como seus dados confidenciais serão tratadas durante a penetração testes. Dependendo da sua certificação / local / filiação, alguns ou nenhum destes irá aplicar a você. O que é importante entender é que cada um destes padrões tentativas de resolver um problema ou ameaça. No caso da internacional organizações, esta ameaça é tipicamente de privacidade pessoal, e não de privacidade corporativa.

Certificações Como mencionado no início do capítulo de segurança da informação, muitas certificações estão agora incluindo os requisitos éticos para obter e manter a certificação. Uma das certificações mais conhecidas, o CISSP, tem o seguintes requisitos de seus membros, classificados em importância as seguintes [(ISC) 2]: 1. 2. 3. 4.

Proteger a sociedade, da comunidade, ea infra-estrutura Agir com honradez, honestidade, justiça, responsabilidade, e legalmente Diligente e fornecer serviços competentes para diretores Advance e proteger a profissão

Há orientação adicional dada por Sistemas de Informação Internacional Security Certification Consortium (ISC) 2 a respeito de como seus membros são deveria conduzir-se, mas os quatro cânones acima mencionados fornecem 2 um código de alto nível obrigatório. Mesmo que estes são considerados de alto nível, (ISC) pode tira um membro da certificação se eles acham que membro violou qualquer um dos quatro cânones. Embora isto possa não parecer tão importante, muitos empregos no governo hoje exigem a certificação CISSP para o emprego. SANS Institute tem sua própria versão de Tecnologia da Informação (TI) ética, que é classificada em três regras principais (SANS Institute, 2004): 1. Vou me esforçar para me conhecer e ser honesto sobre a minha capacidade. 2. Vou realizar o meu negócio em uma maneira que assegure a profissão de TI é considerado um dos integridade e profissionalismo. 3. Eu respeito a privacidade e confidencialidade.

Contratante Dentro da indústria de segurança da informação, não há órgão de licenciamento ou fiscalização conselho que governa os comportamentos e os padrões de testadores de penetração. Por causa de que, os clientes não têm nenhum recurso, que não seja dentro do sistema legal, para corrigir bad comportamento. Tenho certeza que todos nós já ouvimos histórias ou viu uma situação onde uma empresa


contratados para uma avaliação de risco da sua rede, e todos eles têm em troca foi Resultados nessus scan. Vendo isso em primeira mão, é frustrante, eu tenho que admitir. Os tempos mudaram, mas não muito. Há ainda "Profissionais" que realizar testes de penetração, mas seus níveis de habilidade são tão baixos que eles estão fazendo desfavor da empresa, permitindo-lhes um a sentir-se seguro, quando há flagrante falhas de segurança um testador de penetração inexperientes simplesmente não descobrir. Isto é por que tantas certificações diferentes em torno da segurança da informação e até mesmo hacking ter aparecido em cena. Há uma esperança dentro da indústria que empresas vão associar o comportamento ético com um testador de penetração profissional que podem documento que eles têm essas certificações, particularmente uma certificação com uma ética política que deve ser respeitada, a fim de manter essa certificação. Eu não tenho certeza se a indústria vai continuar assim, ou se virá um tempo quando uma pessoa tem de obter uma licença e passar por exames antes que eles podem chamar-se um testador de penetração profissional. Eu não tenho certeza que ele irá corrigir alguma coisa, honestamente. No entanto, uma grande parte do misticismo desapareceu dos olhos dos clientes, e eles são começando a entender como e porque funciona um teste de penetração, e estão se tornando mais conscientes do que constitui um esforço bom teste de penetração. Esta, mais do que qualquer outra coisa, vai melhorar o comportamento ético por parte dos testadores de penetração. Por enquanto, o único padrão ético que é imposta a uma penetração de profissionais testador é um adoptarem-se.

Empregador Quase toda empresa tem uma política de padrões éticos. Pode não se relacionam diretamente ao segurança da informação, mas geralmente é escrito em um nível tão elevado para abranger comportamento em todas as atividades durante o curso de fazer negócios. Não é incomum para um empresa, ao contratar um empreiteiro, para exigir que o contratante para aderir a sua política de ética próprio. Como eu mencionei acima, os empreiteiros não têm nada que dita seu comportamento. Certamente, algumas certificações e aceitação mandato organizacional afiliações de certos padrões de ética, mas eles não têm qualquer autoridade legal que pode forçar uma contratante para cumpri-los. Se você empregar um contratante ou contratar alguém para trabalhar dentro da organização, certifique-se de incluir no contrato como parte de obrigação do destinatário uma cláusula afirmando que leu e vai seguir o seu empresa de informações políticas de segurança e padrões de ética. Nesse ponto, você pode usar uma ação legal contra eles se não fazê-lo.

AVISO Muitas vezes, as políticas de segurança são escritos com um monte de dentes, mas a falta de ação por parte da administração quando alguém quebra a política torna qualquer política impotente. Para qualquer política para ser eficaz, precisa do apoio de cima. Se as políticas não são forçada, que não deve ser escrito em primeiro lugar.

Normas Éticas 21

Apenas certifique-se que suas políticas e as normas são escritas de uma maneira que claramente define o comportamento inadequado -levá-los a um advogado se for preciso, mas não supor que algo que você baixar da Internet serão de execução obrigatória, ou mesmo coerente para essa matéria.

Organizações Educativas e Institucional Muitas organizações têm instituído os seus próprios padrões éticos, tornando-membro navio dentro da organização dependente da aceitação desses padrões éticos. Este esforço é uma tentativa de preencher o vazio de não ter um corpo de licenciamento ou fiscalização board como mencionado anteriormente. Essas organizações devem ser elogiados e suportada por seus esforços em melhorar os padrões éticos na informação segurança. A lista a seguir não é de forma exaustiva.

Information Systems Security Association (ISSA) O ISSA é uma organização sem fins lucrativos, que se centra na promoção da segurança e educação no campo da Tecnologia da Informação. Associação vem com um obrigação de aderir a um código de ética, que afirma a informação (a seguir Os sistemas de segurança Association, 2009): ■

Executar todas as atividades profissionais e direitos em conformidade com todas as leis e os mais elevados princípios éticos

■

Promover geralmente aceitos de segurança da informação e melhores práticas actuais padrões

■

Manter a confidencialidade adequada das proprietárias ou sensíveis informações encontradas no decorrer das atividades profissionais

■

Descarga responsabilidades profissionais com diligência e honestidade

■

Abster-se de quaisquer atividades que possam constituir um conflito de interesses ou de outra forma prejudicar a reputação dos empregadores, a segurança da informação profissão, ou a Associação, e

■

Não intencionalmente ferir ou impugnar a reputação profissional ou prática de colegas, clientes ou empregadores.

Internet Activities Board (IAB) O IAB reconhece comportamento antiético como qualquer atividade que (RFC 1087). Este é um publicação não vinculante, destinado a fornecer aos membros dentro do IAB um conjunto de diretrizes éticas durante o desenvolvimento do Request for Comments (RFC) e Padrões da Internet (Rede Grupo de Trabalho, 1989): ■

Procura ganhar acesso não autorizado aos recursos da Internet

■

Interrompa a sua utilização da Internet


■

Desperdiça recursos (pessoas, capacidade do computador), através de ações tais

■

Destrói a integridade do computador baseado em informações, e / ou

■

Compromete a privacidade de usuários

Institute of Electrical and Electronics Engineers (IEEE) O IEEE é uma associação sem fins lucrativos, cujos membros também são obrigados a aderir a um conjunto de normas, descritas abaixo (IEEE, 2006): 1. A aceitar a responsabilidade na tomada de decisões consistentes com a segurança, saúde e bem-estar do público, e divulgar prontamente fatores que podem pôr em perigo o público ou para o ambiente 2. Para evitar conflitos reais ou aparentes de interesse, sempre que possível, e para divulgá-los para as partes afetadas quando eles existem 3. Para ser honesto e realista ao afirmar reclamações ou estimativas baseadas em dados disponíveis 4. Para rejeitar suborno em todas as suas formas 5. Para melhorar a compreensão da tecnologia, sua aplicação adequada, e potenciais consequências 6. Para manter e melhorar a nossa competência técnica e realizar tarefas tecnológicas para os outros apenas se qualificado por treinamento ou experiência, ou após a divulgação cheia de limitações pertinentes 7. Procurar, aceitar e oferecer uma crítica honesta de trabalho técnico, para recoborda e corrigir erros, e ao crédito adequadamente as contribuições dos outros 8. Para tratar justamente todas as pessoas, independentemente de fatores como raça, religião, sexo, deficiência, idade ou origem nacional 9. Para evitar ferir os outros, sua propriedade, reputação, ou emprego por falsa ou ação maliciosa 10. Para ajudar os colegas e colegas de trabalho em seu desenvolvimento profissional e para apoiá-los em seguir este código de ética

Organização para a Cooperação e Desenvolvimento Econômico (OCDE) Em 1980, houve um esforço para criar um sistema unificado e abrangente de proteção de dados sistema na Europa. A OCDE prevê as seguintes diretrizes para uso pessoal de dados que cruza as fronteiras nacionais (www.privacy.gov.au / publications / oecdgls.pdf; Organização para a Cooperação Econômica e Desenvolvimento): ■

Princípio coleção Limitação: Não deve haver limites à cobrança de dados pessoais e os dados devem ser obtidos por forma lícita e leal meios e, quando apropriado, com o conhecimento ou consentimento dos dados tema.

■

Princípio de dados de qualidade: Os dados pessoais devem ser relevantes para os fins para os que estão a ser utilizados, e, na medida necessária para esses fins, devem ser precisos, completos e mantido up-to-date.

Normas Éticas 23

■

Princípio da finalidade Especificação: Os fins para os quais os dados pessoais são coletado deve ser especificado o mais tardar no momento da coleta de dados e o uso subseqüente limitado ao cumprimento desses propósitos ou outros, tais como não sejam incompatíveis com as finalidades e como são especificados em cada ocasião da mudança de finalidade.

■

Use princípio da limitação: os dados pessoais não devem ser divulgadas, feitas disponíveis ou utilizados para outros fins que não os especificados no acordo com o Parágrafo 9, salvo: a) Com o consentimento do titular dos dados ou b) Pela autoridade da lei

■

Princípio de segurança Salvaguardas: Os dados pessoais devem ser protegidos pela razãocapaz medidas de segurança contra riscos como perda ou acesso não autorizado, destruição, uso, modificação ou divulgação de dados.

■

Princípio da abertura: Deve haver uma política geral de abertura sobre desenvolvimentos, práticas e políticas em relação aos dados pessoais. Meios devem estar prontamente disponíveis de estabelecer a existência ea natureza do dados pessoais, e os principais objetivos de seu uso, bem como a identidade e residência habitual do tratamento dos dados.

■

Princípio de Participação Individual: Um indivíduo deve ter o direito de: a) para a obtenção de um controlador de dados, ou outra forma de confirmação, de haver ou não o responsável pelo tratamento tem dados que lhe dizem respeito b) ter comunicado a ele, os dados relativos a ele i) dentro de um prazo razoável ii) com custo adicional, se houver, que não é excessivo iii) de uma forma razoável e iv) de uma forma que é facilmente compreensível para ele c) a ser dado razões, se um pedido feito nos termos das alíneas (a) e (b) é negado, e ser capaz de desafiar essa recusa e d) para desafiar os dados que lhe digam respeito e, se o desafio é bem sucedido, ter os dados apagados, retificados, completados ou alterados

■

Princípio da responsabilização: Um controlador de dados deve ser responsável por observância das medidas que dão efeito aos princípios acima referidos.

Um problema com as orientações da OCDE era de que eles se destinavam a ser adoptadas por cada país individual. Isto poderia ter restringido o fluxo de dados entre as nações europeias, porque cada país teria que criar porto seguro leis, assim como para lidar com dados estrangeiros, ou a saída de dados relativos às suas próprias cidadãos. O substituto para a OCDE veio na forma de "Directiva 95/46/CE " mencionadas mais adiante neste capítulo, sob Safe Harbor. Como uma nota lateral, os Estados Unidos endossou as recomendações da OCDE, mas não codificam nenhum dos princípios. Como você vai ver, a abordagem à privacidade é completamente diferente nos países europeus do que nos Estados Unidos.


CRIME LEIS DE COMPUTADOR Então, por que deveríamos falar sobre a criminalidade informática em um livro de testes de penetração? Nós poderia dar uma dica de Sun Tzu "O Art of War "e aprender sobre a criminalidade informática para que você possa "Know o inimigo "(Giles, 1910). Enquanto isso é certamente um valor objetivo, haverá casos em que um ato criminoso é conduzida contra o órgão zação, e que você precisa saber o que fazer quando isso acontece. Dependendo se é uma violação criminal ou civil legal, muitas vezes, ditam suas ações.

Tipos de Leis Leva três anos (no mínimo) para obter uma licenciatura em Direito. Depois disso, uma pessoa precisa fazer um exame antes que eles podem chamar-se um advogado. Este capítulo é obviamente muito tímida do corpo de conhecimento necessário para realmente compreender a profundidade e as nuances de um sistema jurídico e sua terminologia. As definições a seguir são bastante simplificada, mas Direito Civil a apontar as principais diferenças entre os tipos de leis dos EUA. destinam-se Direito civil destina a corrigir uma injustiça contra um indivíduo ou organização, que resultou em algum tipo de perda ou dano. Pessoas condenadas por violar civil leis não podem ser presos, mas pode ser obrigado a fornecer uma compensação financeira. Tipos de leis relacionadas à segurança da informação que se enquadram nesta categoria incluem patentes, direitos autorais, segredos comerciais, marcas comerciais e garantias.

Direito Penal Direito penal se destina a corrigir um erro contra a sociedade. Pessoas condenadas por violar leis penais pode ser preso, bem como obrigado a fornecer financeira compensação. Muitos dos tipos de crimes de computador listados mais adiante neste capítulo queda nesta categoria.

Administrativa / Regulamentação Lei Lei de regulamentação está destinada para corrigir o comportamento dos órgãos do governo, organizações, funcionários e diretores das organizações ou agências. Semelhante ao direito penal, a punição pode incluir prisão, ou feitos para prover recursos financeiros compensação. Exemplos de leis reguladoras incluem códigos legais, como Título 12 (Bancos e Bancos) e Título 15 (comércio e Trade). Existem outras leis que possam impactar o teste de penetração, incluindo comum lei e direito consuetudinário. É importante conhecer todas as leis que possam impactar nossa projeto antes de começar.

Tipo de Crimes de computador e ataques Quando você realizar um teste de penetração, você tem que mudar completamente o seu pensamento processo. Quando você ataca uma rede, você tem que pensar em todas criminal as possíveis

Crime Leis computador 25

atividades que você poderia realizar e como você conseguiria realizar tal tarefa. Colocando-se na mente de um hacker mal intencionado, você começa a ver o ameaças de uma maneira diferente, o que permite apresentar os cenários de pior caso para o cliente durante a fase do relatório do projeto. ■

■

■

■

Negação de serviço: Quase todos os sistemas são suscetíveis a negação de serviço ataques. Isto pode resultar em problemas de largura de banda, poder de processamento, e até mesmo esgotamento de recursos de design de software pobres. Destruição ou alteração de informações: Uma vez que um usuário malicioso ganhou acesso aos seus dados, como você pode saber o que foi alterado eo que não tem? Alteração das informações é geralmente muito mais dispendioso do que a reparação destruição simples. Dumpster diving: Embora tendo lixo para fora de uma lata de lixo muitas vezes não é por si só ilegal (A menos que seja em propriedade privada, e há advertências contra invasão de propriedade, na maioria dos casos), as pessoas não roubar o lixo apenas porque podem. Eles fazem isso para obter informações que podem ser usados para fazer mal. Se é simples como um lista de nomes e números de telefone, ou algo mais perigoso do mãos erradas, como cliente ou de privacidade de dados, dumpster diving é muito Eavesdropping emanação: Nos dias da Guerra Fria, havia uma legítima passo inicial eficaz em um ataque malicioso. medo de que as nações estrangeiras podiam espionar os Estados Unidos através da obtenção de dados inadvertidamente transmitida através de rádio frequência (RF) gerados por terminais. Embora a maioria dos equipamentos hoje emite muito pouco ruído RF, há um enorme crescimento no uso de redes sem fio. Eavesdropping em de comunicação sem fio é algo todas as organizações devem se preocupar aproximadamente.

■

Desfalque: Alguns crimes será sempre popular e peculato é um desses. O problema é que a introdução de computadores têm feito desfalque mais fácil de esconder, porque tudo é "0 e 1 é ". Temos sido feitos grandes avanços em direção à identificação de modificação de dados financeiros, mas o código por trás das aplicações é tão forte quanto os desenvolvedores conseguiram. E todos nós sabemos não existe tal coisa como código perfeitamente seguro.

■

Espionagem: Se isto é entre as nações concorrentes ou concorrentes empresas, a espionagem é um problema constante. A nível nacional o nível de exposição, à espionagem pode prejudicar seriamente a segurança dos seus cidadãos e interesses. No nível corporativo, a espionagem poderia arruinar uma empresa financeiramente.

■

Fraude: que a criminalidade informática, fraude é freqüentemente associada com fake leilões. De uma perspectiva de testes de penetração, a fraude pode incluir phishing, cross-site scripting e ataques de redirecionamento.

■

Conteúdo ilegal de material: Uma vez que um usuário malicioso ganha acesso a um sistema, ele tem muitas opções de como usar o sistema para seu próprio ganho. Em alguns


■

casos, é usar o sistema comprometido como um download ou um site de armazenamento para conteúdos ilegais, em forma de software pirata, música ou filmes. Guerra de informação: Muitas organizações políticas gostariam de espalhar a sua mensagem através dos meios possíveis. Além disso, esses mesmos políticos organizações podem desejo de destruir a arquitetura da informação de uma nação. Guerra de informação vem em muitas formas diferentes, a partir da Web simples defacement a ataques contra sistemas militares e / ou instituições financeiras / network arquitetura.

■

Código malicioso: Vírus e worms empresas custar bilhões de dólares a cada ano. A criação e distribuição de códigos maliciosos ocorrer para uma variedade de razões -tudo, de emoção que procuram a intenção criminosa organizada.

■

Masquerading: Isso é realizado por fingir ser outra pessoa alguém que tem um maior nível de acesso do que o usuário mal-intencionado pode ter. Isso pode ocorrer ao nível do sistema ou rede.

■

Engenharia social: Esta técnica é muitas vezes o mais simples e mais eficaz forma de obtenção de dados ou o acesso aos sistemas. Usando as habilidades sociais um, um pessoa pode obter outros para revelar informações que não deveriam. O problema é que a maioria das pessoas gosta de ser útil, e engenharia social pode levar vantagem desta necessidade de ser útil. A pirataria de software: desenvolvedores de software e os proprietários gostam de ser pagos pelo seu esforços para fornecer software útil e produtivo para as massas. Software pirataria prejudica a sua capacidade de fazer um lucro e é ilegal em muitos países. Spoofing de endereços IP: falsificação de um endereço de Internet Protocol (IP) é frequentemente usado para evitar a detecção ou ponto de origem. Também pode ser usado para acesso aos sistemas que utilizam endereços IP como uma forma de filtragem de segurança. Terrorismo: A maioria das pessoas pensa de bombas quando se pensa em ataques terroristas. No entanto, a Internet ea rede se tornou uma parte tão integral do nosso dia-a-dia que um ataque contra a comunicação infraestrutura poderia ter o mesmo, ou potencialmente maior impacto, contra os cidadãos de um país em relação à disseminação do medo. Pode não ter o mesmo visual impacto que as explosões visto no noticiário noturno teria, mas se a idéia é para paralisar uma nação, a infra-estrutura de comunicação é certamente um alvo.

■

■

■

■

Roubo de senhas: Se isso é feito usando técnicas simples, tais como ombro surf, ou a técnica mais invasiva da força bruta, o compromisso de senhas é uma séria ameaça à confidencialidade e integridade dos dados. Outro tipo de atividade criminosa que incide sobre o roubo de senhas inclui ataques de phishing.

■

Uso de scripts de fácil acesso explorar: Um monte de ferramentas que usamos no protestes de penetração profissional use scripts para explorar sistemas de compromisso; há


também sites Web que têm scripts numerosos também foi projetado para compromisso sistemas. Obter esses scripts e ferramentas é trivial. ■

Intrusões na rede: Em alguns casos, o alvo é da rede. Não foi há muito tempo atrás, que a rede de telefonia foi alvo de hackers telefone, para que eles pudessem fazer chamadas sem pagamento. Na rede de hoje, existem comunicações nova tecnologias de informação que fornecem um alvo atraente para hackers mal-intencionados, incluindo Voz sobre Internet Protocol (VoIP).

U. S. Leis Federal As seguintes leis são importantes para, pelo menos, estar familiarizado com, se você planeja realização de qualquer tipo de testes de penetração. Independentemente disso, se você está fazendo contrato trabalho ou trabalhando como um empregado, as chances são de uma ou mais dessas leis afetálo ou os sistemas que você teste, especialmente se o seu cliente ou empresa tem sistemas que manter os dados pessoais financeiras Law School). ■ 1970 EUA Fair Creditou Reporting Act:(Cornell Esta leiUniversity rege a coleta, disseminação e uso de informações de crédito ao consumidor e fornece uma linha de base para os direitos dos consumidores em relação à sua informação de crédito. ■

1970 EUA Racketeer Influenciado e Corrupt Organization (RICO) Act: Este ato estende sanções penais e civis por atos praticados como parte de um organização criminosa em curso. Destinados à luta contra o crime organizado grandes sindicatos, a Lei RICO abrange uma série de atividades ilegais, incluindo vários infrações previstas ao abrigo do Título 18 (Código Penal Federal), inclusive extorsão e chantagem.

■

1973 Código dos EUA de Práticas de Informações Fair: Este Código dos EUA (USC) é destinadas a melhorar a segurança dos sistemas de dados pessoais. Há cinco princípios básicos (Gellman, 2008): 1. Não deve haver sistemas de registros de dados pessoais cuja própria existência é secreta. 2. Deve haver uma maneira para uma pessoa para descobrir o que as informações sobre eles está em um registro e como ele é usado. 3. Deve haver uma maneira para uma pessoa para impedir que informações sobre eles que foi obtida com um único propósito de serem utilizados ou disponibilizados para outros fins sem o seu consentimento. 4. Deve haver uma maneira para que um indivíduo para corrigir ou alterar um registro de informações identificáveis sobre ele. 5. Qualquer organização criar, manter, usar ou divulgar registros de dados pessoais identificáveis deve assegurar a confiabilidade dos dados para os seus utilização prevista e deve tomar precauções para evitar o uso indevido dos dados.

■

1974 U. S. Privacy Act: Este U.S.C. define quem pode ter acesso a informações (Incluindo mas não limitado à educação, transações financeiras, a história médica,


■

e) criminal ou histórico de emprego que contém informações de identificação (Nome, número de identificação, símbolo, impressão digital, impressão de voz, ou uma fotografia). 1978 Foreign Intelligence Surveillance Act (FISA): O presente acto descreve o processo para a realização de vigilância eletrônica e recolha de estrangeiros informações de inteligência. Este ato foi alterado em 2001 pela Lei PATRIOT para incluir as organizações terroristas que não têm necessariamente uma associação ou afiliação com um governo estrangeiro. Revisões adicionais foram decretadas para lidar com a questão de escutas telefônicas sem mandado.

■

1986 Computer Fraud EUA e Abuse Act (alterada 1996): Este acto destinado para reduzir a ameaça de ataques mal-intencionados e não autorizada contra o computador sistemas. O Patriot Act aumentou a gravidade das sanções associados com este ato, bem como adicionar o custo do tempo gasto na investigação e responder a incidentes de segurança para a definição de perda. Este foi um importante expansão da lei, considerando que as alegações anteriores de perda muitas vezes não foram com base nas perdas reais ou custos, mas o que muitos consideravam exageradas.

■

EUA 1986 Electronic Communications Privacy Act: Esta lei estende-se restrições do governo sobre grampos telefônicos. Originalmente limitado a telefonemas, essa lei estendeu o direito de interceptar transmissão de dados electrónicas enviadas por computadores.

■

1987 EUA Computer Security Act: Esta lei tenta melhorar a segurança e privacidade de sistemas de computador Federal e tem sido substituído pelo Federal Information Security Management Act (FISMA) de 2002. Esta lei designada o Instituto Nacional de Padrões e Tecnologia (NIST), enquanto o governo órgão responsável pela definição de práticas de segurança mínima.

■

1991 EUA Federal Diretrizes Penas: Essas são as diretrizes de sentença para criminosos condenados no Sistema Tribunal Federal dos EUA.

■

1994 EUA Assistência Communications Act de Imposição da Lei: Esta lei exige que todos os operadores de telecomunicações para fornecer funcionalidade e capacidade para as agências de aplicação da lei para realizar escutas telefônicas, sempre que possível. 1996 EUA Económico e Proteção of Information Act patenteada: Esta lei é um esforço para melhorar a segurança das corporações e indústrias de espionagem, ao estender a definição de propriedade para cobrir proprietários informação económica.

■

■

1996 EUA Seguro de Saúde Kennedy-Kassebaum e Portabilidade ContaLei capacidade (HIPPA) (alterado 2000): Esta lei objetivando a proteção pessoal informações dentro da indústria de saúde.

■

1996 Título I, Lei de Espionagem Econômica: Esta lei faz com que o roubo do comércio segredos de um crime federal.


■

1998 EUA Digital Millennium Copyright Act (DMCA): Esta lei proíbe a fabricação, comercialização, venda ou de qualquer tecnologia, dispositivo ou serviço que contorna os mecanismos de proteção de direitos autorais.

■

1999 EUA Uniform Informação Computadores Transações Act (UCITA): Este lei se destina a fornecer um conjunto uniforme de regras que governam software licenciamento, o acesso on-line, e diversas outras transações que ocorrem entre sistemas de computação. Ele fornece validade ao conceito de "Shrink-wrap" contratos de licença.

■

2000 nos EUA Assinaturas Congresso Electronic no Global e Comércio Nacional Act (ESIGN): Esta lei fornece uma base legal para as assinaturas electrónicas e registros e contratos eletrônicos "Pode não se pode negar efeitos jurídicos, validade, ou aplicabilidade apenas porque está em formato eletrônico. "

■

2001 EUA fornecem ferramentas adequadas para interceptar e obstruir Terrorismo (PATRIOT) Act: Essa lei ampliou a capacidade de aplicação da lei a busca de telefone, e-mail, médicos e registros financeiros. Também facilitou algumas restrições sobre os esforços de inteligência estrangeiros dentro dos Estados Unidos.

■

Lei 2002 E-Government, Título III, o Federal Information Security Managemento Act (FISMA): Este U.S.C. foi criado para melhorar o computador ea rede de segurança dentro do governo federal e substitui os EUA 1987 Computer Security Act.

U. S. Leis Estaduais Alguns estados dos EUA ter tomado a iniciativa de proteger a privacidade dos seus cidadãos. Um dos os esforços mais notável foi California SB 1386, em 2003. Foi necessária qualquer agência, pessoa, ou empresa que opera na Califórnia para divulgar quaisquer falhas de segurança envolvendo residentes da Califórnia. Em 2005, 22 estados aprovaram leis semelhantes haviam destinado para proteger seus cidadãos em caso de violações de privacidade. Em alguns casos, essas leis foram ampliados para incluir outros dados, incluindo informações médicas, biométricas dados, de assinaturas electrónicas, números de identificação do empregador, e muito mais. AVISO Leis estão mudando constantemente como advogados e juízes começam a realmente entender tecnologia informática. Em caso de dúvida sobre qualquer coisa, contato com um advogado.

Porque cada estado começa a definir as suas próprias leis sobre a criminalidade informática, atividade do computador em um estado pode ser legal enquanto que no estado vizinho pode ser ilegal. Spam é uma das áreas onde as leis são tão dramaticamente diferente que é quase impossível manter-se com as diferenças. Embora eu também lutam com spam diariamente em minha caixa de correio pessoal e desejo que tudo vá embora, alguns


leis spam foram derrubadas devido a violações da liberdade de expressão. Essas leis não foram bem escrito, como visto no caso de Jeremy Jaynes, que foi originalmente considerado culpado de violar a lei anti-spam da Virgínia e sentenciado a nove anos de prisão. Sua condenação seria anulada pela Suprema Corte de Virgínia, porque a lei estadual foi "Inconstitucionalmente overbroad em sua face, pois proíbe a transmissão de todos os anônimos em massa não solicitados e-mails, incluindo aqueles contendo discurso político, religioso ou outro material protegido pela Primeira Emenda à Constituição dos Estados Unidos. "(Jeremy Jaynes v. Commonwealth da Virgínia, 2008) Houve alguns esforços ao nível legislativo nacional para ajudar e criar leis criminalidade informática que beneficiam todos os estados ao mesmo tempo. Um exemplo é a Lei CAN-SPAM, que lida com questões de spams e leva em conta Primeira direitos Emenda. No entanto, os estados preferem evitar o uso das leis federal; se alguém é julgado em tribunal federal e é considerado inocente, a pessoa que introduziu a ação pode acabar pagando as taxas legais do réu, como visto no caso de Gordon versus Virtumundo, que foi arquivado nos termos da Lei CAN-SPAM. Virtumundo não foi considerado culpado e Gordon teve que pagar 111.000 dólares em custas judiciais e honorários advocatícios. A maioria das leis estaduais não têm essa exigência para compensar réus, se for encontrado não culpado. Com isto em mente, lembre-se que o entendimento das leis federais não é suficiente. Há uma abundância de leis estaduais mal formulada, que pode snare-lo em tribunal, mesmo se tal atividade não é ilegal na sua jurisdição, simplesmente porque o seu pacote de "0 e "1 cruza em seu estado. Outra preocupação é de responsabilidade civil, por falta de diligência e cuidado devido -descrições legais que descrevem o comportamento apropriado dos indivíduos durante o curso normal dos negócios.

Leis internacionais Esta seção fornece uma lista de non-US leis que dizem respeito à privacidade e / ou computador crime. Esta lista não é de forma exaustiva e deve ser um ponto de partida para compreensão de seu papel como um testador de penetração quando se lida com sistemas que pode cair sob as regras internacionais e as leis. Para as empresas que têm sistemas ou negócios na Europa, testadores de penetração deve tornar-se intimamente conhecedor de da directiva da UE sobre Privacidade de Dados Pessoais.

Canadá ■

Código Penal do Canadá, Seção 342 -Uso não autorizado de Computador

■

Código Penal do Canadá, Seção 184 -Intercepção de comunicações

Reino Unido ■

Mau uso do computador Act (CMA) de 1990 (Capítulo 18)

■

O regulamento dos Poderes de Investigação Act 2000 (Capítulo 23)


■

O terrorismo Anti-Crime, and Security Act 2001 (Capítulo 24)

■

O Data Protection Act 1998 (Capítulo 29)

■

A Lei de Fraude 2006 (Capítulo 35)

■

Potencialmente a falsificação e contrafacção Act 1981 (Capítulo 45) também podem aplicar em relação a falsificação de instrumentos de pagamento electrónicos aceitos no Reino Unido.

■

A CMA foi recentemente alterada pela Lei de Polícia e da Justiça 2006 (Capítulo 48)

■

A Privacidade e Comunicações Electrónicas (Directiva CE) de 2003 (Estatutária Instrumento n º 2003 242)

Austrália ■

Cibercrime Act 2001 (Commonwealth)

■

Crimes Act 1900 (NSW): Parte 6, ss 308-308I

■

Código de Conduta Criminal Compilação Act 1913 (WA): 440A Seção, não autorizada uso de um sistema de computador

Malásia ■

Crimes de computador Act 1997 (Lei 563)

Cingapura ■

Mau uso de computador Act 1993 (Capítulo 50A)

Venezuela ■

Especial Computer Crimes Act (Lei Especial de Delitos Informáticos)

Safe Harbor e da Directiva 95/46/CE Em 1995, a Comissão Europeia implementado "Directiva 95/46/CE relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. "Esta directiva proíbe a transferência de dados privados de um país que adota a qualquer país que não segue a Directiva 95/46/CE. Os Estados Unidos são um dos países que não adoptaram a directiva. Porque a falta de acesso a dados privados pode impedir seriamente as actividades de negócios (Isto é, o lucro), o conceito de "Safe Harbor "foi acrescentado à directiva para permitir empresas dentro dos países nonadopting ainda ter acesso aos dados de privacidade. O idéia por trás do Safe Harbor é que as empresas que querem participar da livre fluxo de dados de privacidade pode fazê-lo independentemente da sua localização, desde que adoptem todas as disposições da Directiva 95/46/CE. Então como é que uma empresa se tornar elegível para a exceção de Porto Seguro? Nos Estados Unidos, as empresas podem se auto-certificar


-se para ser compatível com a Directiva 95/46/CE. Não há fiscalização organização que garante o cumprimento, uma vez por empresa afirma sua adesão aos directiva, no entanto, as queixas podem ser apresentadas contra as empresas que de forma inadequada afirmam ser uma organização Safe Harbor ainda não atendem as exigências e multado pelo governo. Os princípios da Directiva 95/46/CE são semelhantes aos encontrados no da OCDE sistema de proteção de dados mencionados anteriormente. A diferença é que ele foi escrito em uma maneira que permitiria que os países trabalhem juntos para proteger os seus cidadãos, mas ainda permitir o fluxo de dados entre eles.

Obter permissão para HACK Para os empregados cujo trabalho é a realização de testes de penetração contra a empresa em que trabalham, tende a haver um pouco mais de flexibilidade no que é permitido eo quantidade de fiscalização que ocorre sobre as atividades empregado durante a penetração testes. Este não é definitivamente o caso com os empreiteiros, que muitas vezes são acompanhados por uma escolta. Pode haver monitoramento de rede do contratante também. Isto é simplesmente porque o nível de confiança é menor com estranhos. Dito isto, há ainda abundância de precauções um empregado deve tomar durante o curso de seu trabalho; no entanto, será abordado com mais detalhes na parte 2 deste livro. Esta secção concentra-se em algumas das questões contratuais encontrados durante uma pentest fora projeto e algumas coisas em que pensar.

Acordo de Confidencialidade Você provavelmente vai ver um acordo de confidencialidade antes de ver qualquer outra peça de papel durante a negociação do contrato. Este se destina a proteger a confidencialidade e privacidade de qualquer informação que você recolhe durante o projeto. Entender que quando você assina esta, você não está só prometendo manter os dados do seu cliente confidenciais durante o curso do teste de penetração, você também prometem manter dados confidenciais de seu cliente o tempo todo que você tem, ou seja, até que seja devidamente destruídos de acordo com um (acordada cronograma e método supondo que o cliente está disposto a liberar o acordo de confidencialidade contratual). A data real em que a confidencialidade não está em vigor pode variar, dependendo da organização e leis, como um exemplo e uma nota pessoal, eu não posso discutir qualquer segredos militares Eu aprendi sobre o meu serviço por meio do Exército dos EUA até 2096, 99 anos depois que eu saí o exército. . . acho que é bastante seguro. Este acordo inclui imagens, captura de teclas, a documentação (Incluindo todos os rascunhos, bem como a liberação final), os arquivos que gravou o seu teclas durante o projeto, qualquer e-mail que você possa ter trocado com o seu cliente, você obteve manuais (tanto do cliente ou do fornecedor), qualquer planos de negócios, planos de marketing, informações financeiras, e qualquer outra coisa que remotamente tem a ver com o projeto. Tenho certeza de que deixei alguns itens fora, mas o ponto de

Obter permissão para Hack 33

tudo isso é que até o final do projeto, provavelmente você vai ter um melhor compreensão da rede de seu cliente ou sistemas que eles fazem, incluindo todos os possíveis maneiras de explorar os seus activos. . . e é tudo em um único local (seu computador ou escritório). Naturalmente, um cliente vai ficar nervoso com esse tipo de situação. O ponto de tudo isso é quando você assina um acordo de confidencialidade, não é simplesmente um acordo de sua parte não falar sobre os ativos do seu cliente -é uma acordo para manter todos os dados relacionados ao seu cliente a sete chaves. Imagine o horror se alguém cortou seus sistemas e descobriu detalhes sobre como infiltrar rede do seu cliente.

Obrigações da Empresa Muitas pessoas sentem contratos principalmente servir o interesse da empresa. Afinal de contas, eles têm o dinheiro -por que não deveriam tirar o máximo dele? Mesmo em negociações contraditório, há uma suposição de que dar e receber é uma crítica componente para negociação de contratos de sucesso. Não contratante deve assinar um acordo que não beneficiá-los, seja no curto ou longo prazo. Que disse, vamos olhar para as obrigações da empresa a partir de uma perspectiva ética em que ambos os contratante e os benefícios da empresa. Uma vez que o contrato é assinado por ambas as partes, a empresa é obrigada a respeitar pelo contrato de forma igual. No entanto, é importante certificar-se que as salvaguardas são para proteger a sua organização e que o contratante é dado apenas o direito quantidade de acesso para completar o trabalho que você perguntar a eles, mas nada mais. Um salvaguardar possíveis inclui rede e sistema de monitoramento e registro visando especificamente o testador penetração. No caso de falhas no sistema ou destruição inadvertida de dados, você pode determinar se o contratante violados O acordo contratual ou não. Outra garantia é ter um acompanhante enquanto nas dependências da empresa. Isto não é intenção de prejudicar o profissional durante suas atividades, mas para reduzir a chance de uma divulgação de informações inadvertida não relevantes para o projeto. Seria desagradável se o contratante ouviu informações de propriedade relacionadas ao estratégia de negócios da empresa, simplesmente porque ele estava no corredor errado na hora errada. Outro benefício para a escolta é que se o contratante encontra um problema há alguém disponível imediatamente para começar a resolver o problema, economizando tempo para ambas as partes. Em alguns dos ambientes mais sensíveis, não é incomum para controlar todos os aspectos das atividades do contratante. No caso de testes de penetração no interior instalações militares e do governo onde os dados classificados e redes existem, medidas extremas são tomadas para restringir os dados saiam do estabelecimento. Normalmente, todos os testes de penetração ocorre dentro das instalações, e nenhuma documentação ou de computação sistemas têm permissão para entrar ou sair da instalação (na verdade, se entrar nas instalações, muitas vezes não são autorizados a sair.) Contractors realização do teste fornecer o agência do governo com uma lista de equipamentos e software de antemão para que o agência pode obtê-lo por eles. Em equipamentos mais especializados, que é difícil


obter, o equipamento é autorizado a entrar, mas deve ser higienizado antes de sair, mas não é incomum ter os discos rígidos removido eo sistema desligado ao sair da instalação. Estes são certamente medidas mais extremas, mas considerada necessária para a segurança nacional. Algumas empresas podem se beneficiar de condução o mesmo nível de esforço para garantir os seus dados corporativos durante o teste de penetração projeto.

Obrigações contratante Além da estipulação de que o contratante deverá manter todos os dados confidenciais, não deve ser uma cláusula detalhando como o contratante pode usar qualquer informação que se reúnem. Tipicamente, a linguagem indica que o contratante só vai divulgar informações para funcionários, diretores, ou empregados com "Necessidade saber. "A única exceção seria se não houver um acordo por escrito autorizando adicionais divulgação a terceiros. Isto certamente não é um pedido incomum, mas há algumas coisas para pensar que poderia causar problemas na estrada. O que acontece se o funcionário, diretor ou empregado tiver trabalhado com não está disponível? E se eles deixam a empresa? Quais são os procedimentos para você verificar e atualizar a lista de destinatários autorizados? Se o contrato dura apenas um par dias, provavelmente há muito poucas razões para se preocupar com isso. No entanto, se o projeto se estende por vários meses (que não é raro), é certamente possível que o seu ponto de contato (PoC) vai mudar. Certifique-se que antes de enviar qualquer coisa que sua lista de destinatários autorizados não mudou. Outra obrigação, muitas vezes incluído no seu contrato será mais detalhes sobre a entrega e destruição de dados. Isso geralmente inclui um limite de tempo da rapidez com que você virar todas as informações confidenciais (mesmo no caso de prematuros contrato terminação) e como você vai destruir qualquer outros meios relacionados a seu cliente (Incluindo todas as notas, screenshots, e assim por diante, você tem feito ao longo do caminho). Muitas vezes você vai precisar apresentar para o seu cliente um certificado de destruição nos um determinado número de dias depois de destruído o material. Para aqueles não familiarizados com um certificado de destruição, esse documento geralmente contém uma lista detalhada, contendo uma descrição das informações eliminados, data da destruição, que autorizou a destruição, o método de destruição (substituindo, retalhamento, reformatação, e assim por diante), e que testemunharam a destruição. O método de destruição pode ser ditada pelo cliente. Há quase certamente será colocado restrições adicionais sobre o contratante, incluindo o uso de login especificado / senhas (que pode proibir você de adicionar novos usuários aos sistemas ou a rede), quando e como você pode acessar seus próprios sistemas, quais os dados que você tem permissão de acesso, ferramentas de software que você pode usar (eles vão provavelmente proibir o uso de backdoors, vírus e assim por diante), e que tipo de você pode executar ataques (ataques de negação de serviço são freqüentemente proibidos.) Como um empreiteiro, se você encontrar qualquer uma dessas questões ausentes do seu contrato, você podem estar em risco. Estas obrigações proteger não só a empresa que contrata-lo, mas também protegê-lo -o contratante. Muitas vezes, há uma frase genérica que implica a

Obter permissão para Hack 35

contratante "Take todas as medidas prudentes "durante o curso do projeto. O que isso significa que, se não é especificamente definido no contrato, pode ser interpretado dramaticamente diferente entre as duas partes contratantes, o que normalmente só é resolvido em um processo civil. É muito melhor para obter cada pequeno detalhe, por escrito, do que ter que recorrer a ações judiciais para resolver as diferenças.

Auditoria e monitoramento Quando falamos de auditoria nesta seção, não estamos falando de você auditoria infra-estrutura de segurança do seu cliente, estamos falando sobre o seu cliente de auditoria a sua sistemas para garantir que são compatíveis com o contrato. Tipicamente, o seu cliente vai querer o seu método de auditoria de armazenamento de seus dados e como você a gerenciar, armazenar, transferência, e transmitir os seus dados confidenciais. Eles também pretende auditar o seu sistemas para se certificar de que eles são seguros contra uma violação de segurança ou acidental divulgação. Vamos discutir a melhor forma de proteger o seu laboratório e sistemas posteriores pentest neste livro, mas esteja ciente que há uma expectativa pelo cliente que o seu sistemas será o exemplo brilhante do que a segurança da informação deve ser parecida. Monitoramento também envolve o cliente investigando você. Isso geralmente ocorre antes pentest, mas pode se estender para incluir atividades durante também. O monitoramento é feito para que o seu cliente se sente confiante você está apenas a realização dos testes e os ataques que você concordou em no contrato. Desvio fora do acordo negociado, muitas vezes, resultar na rescisão de seu contrato e pode resultar em uma batalha legal. Se você está sempre em uma situação onde você achar que precisa para sair do contratado limites, você precisa parar suas atividades e renegociar o acordo. Verbal ou por escrito a aprovação de seu PoC nunca é suficiente, o contrato é a ligação acordo, e você pode ser responsabilizado por violar o contrato, mesmo se você acho que tudo vai dar certo. Menos que o contrato diz especificamente o PoC tem a capacidade de modificar o acordo (que eu nunca vi isso), você precisa iniciar o seu contrato de plano de gestão da mudança. Qualquer outro curso de ação é muito arriscado.

Gestão de Conflitos

Inevitavelmente, ambas as partes terão desentendimentos. Como você administra os disacordos decidirá se você tem um projeto bem sucedido ou não. Todos os contratos deveria ter prescrito método para lidar com conflitos. No entanto, eles normalmente apenas lidar com os cenários de pior caso, onde falhou a arbitragem é normalmente seguida por ações judiciais. Para aqueles problemas que não se escalar para este nível de gravidade, é preciso haver algum plano na gestão de conflitos. O tipo de situações que se enquadram nesse cenário muitas vezes inclui desentendimentos entre o contratante e um dos as partes interessadas na companhia do seu cliente. Isso pode ser um administrador de rede que está infeliz com o seu apertando e cutucando em sua rede, ou um gerente que não foi incluída na decisão de contratá-lo. Nestes casos, pode ser egos machucados que causam o conflito, algo que você não pode ter qualquer real controle.


TIP Quase todos os conflitos podem ser reduzidos em sua gravidade, se uma comunicação sólida plano de gestão está em vigor no início do projeto. Tende a ser um hábito de limitando a quantidade de comunicação entre a equipe do projeto e das partes interessadas, principalmente porque ninguém gosta de más notícias. No entanto, quanto mais cedo os problemas são comunicada, o mais rápido os problemas são resolvidos.

Podem ser problemas legítimos, assim, como uma barreira técnica que impede você de realizar seu trabalho. Independentemente das circunstâncias, há precisa de ser um método para lidar com conflitos. Em alguns casos, o PoC não têm poder suficiente para resolver o problema. Em tais casos, é preciso haver linhas alternadas de comunicação.

RESUMO A ética não deve ser relegado para checkboxes pessoas marcam uma vez por ano para cumprir com as necessidades de recursos humanos. Compreensão da ética e praticam o princípios em qualquer um dos códigos apresentados neste capítulo irá ajudá-profissional testadores de penetração tremendamente, tanto na sua qualidade de trabalho e na indústria reconhecimento. Apesar do fato de que os governos estão a tentar regular a ética comportamento, a própria indústria deve desempenhar um papel importante em assegurar que qualquer pessoa envolvidos em testes de penetração profissional conduzir-se eticamente. Há muitas leis que se referem a privacidade, que precisam ser considerados durante pentest um projeto. Não é incomum que um pentest cruzam fronteiras internacionais, quando isso acontece, os membros do projeto precisa estar bem informado sobre todas as leis relevantes. Mesmo se um teste de penetração é conduzido inteiramente dentro dos Estados Unidos, há novo estado leis que estão sendo escritos que podem impactar o projeto. Um advogado familiarizado com a lei de privacidade torna-se inestimável e deve ser consultado antes de qualquer atividade pentest começa. Obrigações contratuais são outra coisa que uma equipe de teste de penetração precisa endereço. Contratos são destinados a proteger todas as partes, para se certificar de que as necessidades do pentest equipa são cumpridos. Mais uma vez, um advogado é essencial para proteger o interesses de qualquer pessoa a realização de um teste de penetração. No longo prazo, o custo de um advogado é insignificante, especialmente quando comparado com o custo de uma ação judicial.

As soluções da FAST TRACK Por que ficar de Ética? ■

Hackers Black Hat têm a vantagem porque eles não têm de seguir todas as regras de engajamento e pode executar qualquer tipo de ataque, mesmo aqueles que são perturbadora.

■

Hackers de chapéu branco que são contratados por grandes empresas têm acesso a recursos que o Black Hat não tem, inclusive pagos treinamento complexo,

Soluções Fast Track 37

arquiteturas usando state-of-the-art protocolos e dispositivos, novas tecnologias, e até mesmo equipes de pesquisa e desenvolvimento. ■

Hackers de chapéu branco, muitas vezes têm restrições colocadas sobre eles durante a sua atividades e deve ser muito seletivo de que tipo de ataques que executam e quando eles podem conduzir a ataques.

Normas Éticas ■

■

■

Dentro da indústria de segurança da informação, não existe um organismo de licenciamento ou conselho de supervisão que rege os comportamentos e os padrões de penetração testadores. Clientes estão começando a entender como e porque funciona um teste de penetração e estão se tornando mais conscientes do que constitui um esforço bom teste de penetração. Muitas organizações têm instituído os seus próprios padrões éticos, tornando membros dentro da organização depende de aceitação desses padrões éticos.

Crime Leis computador ■

Direito civil destina a corrigir uma injustiça contra um indivíduo ou um organização, o que resultou em algum tipo de perda ou dano.

■

Direito penal se destina a corrigir um erro contra a sociedade. Pessoas condenadas de violar leis penais pode ser preso, bem como obrigado a fornecer compensação financeira.

■

Lei de regulamentação está destinada para corrigir o comportamento dos órgãos do governo, organizações, funcionários e diretores das organizações ou agências. Semelhante ao direito penal, a punição pode incluir prisão ou pode ser feito para fornecer uma compensação financeira.

Obter permissão para Hack ■

Mesmo nas negociações contraditório, há uma suposição de que dar e receber é um componente crítico para negociação de contratos de sucesso. Não contratante deve assinar um acordo que não beneficiá-los, seja a curto prazo ou longo prazo.

■

Em alguns dos ambientes mais sensíveis, não é incomum para o cliente para controlar todos os aspectos das atividades da contratante, incluindo o acesso a sistemas e instalações.

■

Um cliente pode exigir a auditoria de um contratante do método de armazenamento de dados e como seus dados confidenciais é gerenciado, armazenados, transferidos e transmitidos.


PERGUNTAS E RESPOSTAS Q:

A:

Eu não tenho nenhuma experiência em testes de penetração profissional, que mantém me de conseguir um emprego. Como posso ganhar experiência? Posso fazer alguma Black Hat ataques e transformar isso em uma carreira? Vinte anos atrás, não havia um monte de pessoas que entenderam informações do sistema de segurança, o que forçou muitas empresas a contratar com Chapéus preto para o conselho em como proteger e defender as redes contra ataques maliciosos. Hoje, a situação mudou, a maioria das pessoas presas hacking ilegalmente acabar na cadeia, e as suas perspectivas de longo prazo de entrar em as informações de campo a segurança do sistema são destruídos. Bastante profissional existem testadores de penetração no mercado de hoje que as empresas podem contratar profissionais que permaneceram unentangled com a lei.

Q:

Como faço para saber mais sobre as leis locais que possam afetar-me durante uma teste de penetração profissional?

A:

Um advogado é seu melhor amigo. Obter os serviços de um advogado que especializada em contratos e direito do computador. O dinheiro gasto com um advogado é dinheiro bem gasto.

Q:

Eu sou novo em testes de penetração, e não sei por onde começar. Eu tenho muito de anos de experiência a fazer a administração do sistema e sou bom no que faço. Como faço para dar o próximo passo?

A:

Junte-se algumas organizações locais que se concentram em segurança do sistema de informação. Não só existem contatos locais que podem ser desenvolvidas, você pode descobrir qual o tipo de mercado existe em sua área para testar serviços profissionais penetração.

Expandir suas habilidades Quer saber mais sobre a ética e as leis? Os exercícios a seguir destinam-se a fornecê-lo com conhecimentos e competências adicionais, para que você possa compreender este tópico melhor.

Exercício 2.1 Tendências de Pesquisa em Criminalidade Informática 1.

Visite www.ic3.gov/media/annualreports.aspx e download as duas últimas versões do relatório anual. Identificar os Top 10 IC3 Categorias Reclamação de cada ano e detalhes a diferença entre os dois anos. Que tendência você pode identificar?

2.

No mais recente relatório, identificar o tipo de reclamação que tem a maior perda média por reclamar. Há alguma discrepância com a questão 1?

Expandir suas habilidades 39

3.

No mais recente relatório, que EUA Estado tem o maior número de perpetradores? Isso mudou a partir do relatório anterior?

4.

No mais recente relatório, o país que tem o maior percentual de perpetradores? Isso mudou a partir do relatório anterior?

Exercício 2.2 Investigação da UE Data Privacy Directiva 95/46/CE 1.

Visite http://ec.europa.eu/justice_home/fsj/privacy/ e identificar os países que tenham adoptado a directiva.

2.

Visite e http://ec.europa.eu/justice_home/fsj/privacy/modelcontracts/ localizar mais recente Decisão da Comissão sobre transferências de dados para fora da UE países. Examinar o conteúdo do documento e encontrar o modelo de contrato para transferência de dados pessoais para países terceiros. Quais são os "Obrigações de o exportador de dados "? Quais são os "Obrigações do importador de dados "?

3.

Visite http://ec.europa.eu/justice_home/fsj/privacy/law e examinar a última versão da Directiva 95/46/CE. Qual é a definição de "Pessoal dados "?

Exercício 2.3 Pesquisa U. S. Lei Federal e Crimes 1.

Visite www.cybercrime.gov / cc.html e ver um dos artigos listados em Últimos " News. "Discutir o artigo.

2.

Visite www.cybercrime.gov / cccases.html e ver um dos computadores crimes listados. Discutir o caso em tribunal e qualquer castigo atribuído.

3.

Visite www.cybercrime.gov / cclaws.html e listar as "Federal Código penal Relacionados com invasões de computador. "Read "18 U.S.C. § 1030. Fraude e relacionadas Atividade em conexão com computadores ", e fornecer a definição de "Danos". Qual é a definição de "Perda"?

Exercício 2.4 Examine Ética Organizacional 1.

Encontrar a versão mais recente do RFC 1087. Qual é a data do memorando?

2.

Que a organização identificou os cinco comportamentos antiético e inaceitável conforme definido pela RFC 1087?

3.

RFC compara a Internet ao que infra-estruturas comuns?


Exercício 2.5 Entenda Gestão de Conflitos Project 1.

Encontrar uma definição de "Conflito de gestão "de uma fonte confiável. Como é que é definidos?

2.

Encontrar uma lista de recomendações sobre como lidar com conflitos especificamente dentro de um projeto. Descrever as recomendações. Fornecer um cenário e como você pode resolver o conflito com base nas recomendações.

Exercício 2.6 Compreender "Safe Harbor " 1.

Visite www.export.gov/safeharbor/ e encontrar o "Safe Documentos Harbor link ". Ver o documento intitulado "Safe Princípios de Privacidade Harbor. "Que segurança precauções devem tomar uma organização se criar, manter, usar ou divulgar informações pessoais? Esta informação é muito vaga ou muito específicos, e por quê?

2.

Dentro do "Safe Documentos Harbor página ", veja o documento intitulado "Safe Resumo Enforcement Harbor. "Quem tem a autoridade para "Take ação contra aqueles que falham em proteger a privacidade das informações pessoais em acordo com suas representações e / ou as autorizações para o fazer "? O que U.S.C. dá a esta organização o seu poder? Que pena que pode civil Para organização contra empresas infratoras?

Referências Brilhante, A. (2007). Estónia acusa a Rússia de "Ciberataque". O Christian Science Monitor. Obtido em www.csmonitor.com/2007/0517/p99s01-duts.html Cornell University Law School. EUA coleta de código. Obtido em www.law.cornell.edu/uscode/ Gellman, R. (2008). Feira práticas de informação: Uma breve história. Obtido em http:// bobgellman.com / rg-docs / rg FIPshistory.pdfGiles, L. (1910). Sun Tzu sobre a arte da guerra. Project Gutenberg. Obtido em www.gutenberg. org/files/132/132.txt IEEE. (2006). IEEE código de ética. Obtido em www.ieee.org/portal/pages/iportals/aboutus/ ética / code.html Information Systems Security Association. (2009). ISSA código de ética. Obtido em www.issa. org / Associação / Code-of-Ethics.html 2

(ISC) 2. (ISC) código de ética. Obtido em www.isc2.org/ethics/default.aspx Jeremy Jaynes v. Commonwealth da Virgínia. (2008, 12 de setembro). Parecer pela justiça Steven G. Agee. Obtido em www.courts.state.va.us/opinions/opnscvwp/1062388.pdf

Referências 41

Leyden, J. (2008). Norte-coreano Mata Hari em lote cyber-espião alegado. The Register. Obtido em www.theregister.co.uk/2008/09/05/north_korea_cyber_espionage/ Mertvago, P. (1995). O dicionário Russo-Inglês comparativa de provérbios russos e provérbios. New York: Livros Hippocrene. Messmer, E. (2000). Exército dos EUA começa a dar o pontapé máquina ciberguerra. Cable News Network. Obtido em http://archives.cnn.com/2000/TECH/computing/11/22/cyberwar.machine.idg/index.html Rede Grupo de Trabalho. (1989). Ética e da internet. Conselho de Atividades Internet. Retirado de www.ietf.org/rfc/rfc1087.txt A Coreia do Norte spyware alvos do exército sul. (2008). O Sydney Morning Herald. Obtido em http://news.smh.com.au/world/north-korea-spyware-targets-souths-army-20080902-47wp. html Organização para a Cooperação Econômica e Desenvolvimento. Orientações da OCDE sobre a protecção dos Privacidade e Fluxos de dados pessoais. Obtido em www.oecd.org/document/ 18 / 0,2340, en_2649_34255_1815186_1_1_1_1, 00.html SANS Institute. (2004). TI código de ética. Obtido em www.sans.org / resources / ethics.php Sierra Corporate Design v. Falk. Citizen Media Law Project. Obtido em www.citmedialaw. org / ameaças / sierra-corporativa-design-v-falk


CAPÍTULO

Hacking como uma carreira

3

SOLUÇÕES NESTE CAPÍTULO Caminhos da carreira ................................................ ............................................ 45 Certificações ................................................. .......................................... 49 Associações e Organizações ............................................... ...................... 84

INTRODUÇÃO Не смотри на начало, смотри на конец. -Provérbio russo: "Begin nada até você considerou como é para ser concluído. " (Mertvago, 1995)

Eu estou sempre perguntava como alguém pode passar para o trabalho de um profissional verificador da penetração. Apesar do crescente número de certificações, faculdade graus, e de terceiros classes de instrução que se relacionam com computador ea rede hacking, não há nada que possa definitivamente refletem a sua capacidade de conduzir uma teste de penetração. Que provavelmente não vai mudar tanto, considerando a constante evolução de ataque e defesa, medidas dentro do Sistema de Informação de Segurança (ISS). Ao contrário de algumas profissões dentro de Tecnologia da Informação (TI), um profissional verificador da penetração deve constantemente aprender novas habilidades -às vezes diariamente. Quando eu exercia funções de administração do sistema, o máximo que eu fiz para estender o meu conhecimento como um sysadmin era esperar para os anúncios e ler um patch revista bimestral relacionadas ao meu trabalho ea arquitetura que eu era responsável. Fora isso, eu estava simplesmente inundados com funções sysadmin. Em outras palavras, 90 por cento da minha actividade estava fazendo, e 10 por cento de aprendizagem. A vida como um verificador da penetração profissional é quase para trás, com a maioria dos meus tempo gasto na aprendizagem -às vezes até no meio de um teste de penetração. Um dos meus passos por dia no trabalho como um testador de penetração envolve listas de discussão tal leitura 43 como bugtraq (www.securityfocus.com/archive/1) para ver o que as novas vulnerabilidades ou exploits foram anunciados. Recriando a façanha em um laboratório pode ser o próximo passo Teste de Invasão profissional para Copyright © 2010 by Syngress Press Inc. Todos os direitos de reprodução em qualquer forma reservada.

44 CAPÍTULO 3 Hacking como uma carreira

validar os resultados, especialmente se a vulnerabilidade atinge um sistema em qualquer testes de penetração ou próximo passado. Uma vez que parte da minha descrição do trabalho envolve realização de testes de penetração contra sistemas corporativos em uma base regular, a caça começa a descobrir que sistemas podem ser afetados. Mesmo durante um teste de penetração, há uma série de pesquisas que ocorre. Depois de um sistema ou aplicativo foi identificado, há a documentação de moagem entender protocolos, métodos de comunicação, as senhas padrão, o diretório estrutura, e assim por diante. Depois disso, não há mais pesquisa para procurar vulnerabilidades e exploits (que muitas vezes não funcionam sem algumas modificações). Na realidade, testes de penetração envolve uma série de pesquisas para fazer qualquer progresso no ataque fase. Se a realização de quantidades maciças de pesquisa não é dentro da sua zona de conforto, em seguida, teste de penetração é provavelmente uma escolha errada como uma carreira. Se pesquisando soa como um monte de diversão, continue lendo. Você deve ter notado que eu não responder à pergunta sobre como alguém pode tornar-se um verificador da penetração profissional, então eu vou fazê-lo agora: "Tornar-se um guru em algo primeiro, antes de se tornar um testador de penetração. " Ok, espere -antes de desistir e colocar este livro para baixo, deixe-me expandir neste um pouco mais. Eu nunca conheci um testador de penetração profissional (quem me qualificar como alguém que não faz nada além de testes de penetração e é realmente fazer uma vida para ele) que era um macaco-de-todos os negócios e especialista em nada, todo mundo em outras palavras, Eu conheci era extremamente hábil em alguma coisa, se era a programação do sistema, administração, ou networking, além de suas habilidades como um testador de penetração. Este guru status lhes permite manipular o sistema alvo mais rápido e compreender quão longe eles podem explorar o sistema com base em recursos conhecidos (Assumindo que eles são um guru em que o sistema de destino). Contra os sistemas que estão familiarizado com, pode haver algum conhecimento que atravessa, que lhes dá uma vantagem durante o pentest. No entanto, é muito difícil de conduzir ataques contra sistemas de desconhecidos ou redes, que muitas vezes solicita testadores de penetração, quer "Silo" suas habilidades (Overspecializing apenas em uma área) ou sucursal fora e tenta se tornar um guru no vários domínios. A motivação para cada escolha se baseia em alguns fatores. Se você quer se tornar conhecido por suas habilidades em controle de supervisão hacking e dados aquisição (SCADA), por exemplo, não faz muito sentido para se tornar um especialista em Voz sobre Internet Protocol (VoIP). No entanto, se você trabalha para uma grande empresa com os sistemas operacionais muito diferentes e arquiteturas de rede, ramificando para fora pode ser a única opção real para você. Isto coloca um outro problema -tempo. Não há tempo é realmente suficiente no dia para ser capaz de trabalhar em se tornar um guru em todas as áreas diferentes dentro de uma penetração teste, razão pela qual é melhor se concentrar em uma habilidade particular primeiro, e add on depois. Overspecializing leva muito esforço e trabalho fora da penetração testes de descrição do trabalho. Minha formação pessoal envolve um monte de tempo como administrador do sistema de servidores Solaris, enquanto eu hesitaria em chamar-me um guru, muitos anos foram gastos no prompt de comando. Por um tempo, eu nem sabia se testes de penetração era de interesse para mim. Acontece que, ao longo do caminho eu comecei a

Caminhos da carreira 45

desenvolver o interesse pela ISS e adaptados a minha educação em torno de expandir essa interesse. Depois de se tornar um testador de penetração, eu descobri um monte de outros seguiram o mesmo caminho básico -guru primeiro, segundo testador de penetração. A dificuldade real foi convencer alguém de minha capacidade de realmente fazer o trabalho de testes de penetração, que é onde certificações vêm dentro Além disso, eu tenho que dizer que, quando comparado com outras oportunidades de emprego ISS, o número de posições de testes de penetração são poucos profissionais. Parece que há mais pessoas que procuram fazer o trabalho de testes de penetração do que as posições disponíveis. Se você é verdadeiramente sério sobre como se tornar um engenheiro pentest, você precisa adequar sua carreira em direção a esse objetivo o mais rapidamente possível, e tão completa quanto possível. Você pode fazer isso por meio da especialização (que é o que nós vamos falar sobre sobre seguinte), a obtenção de certificações relevantes, freqüentando locais e internacionais convenções, encontrar as comunidades locais, e mais -qualquer coisa para conseguir reconhecido como uma pessoa dentro do campo de testes de penetração, mesmo que seja apenas como observador. O chave é ser apaixonado pelo campo da carreira e continuar aprendendo, ninguém vai feed-colher as informações para nós, por isso precisamos de ler livros, bater a Internet, configurar nossos próprios laboratórios de teste, e muito mais. A maior parte deste capítulo é escrito para aqueles que não estão atualmente na penetração testes de campo. No entanto, isso não significa que este capítulo não terá valor para o profissional experiente. Se você já está no campo de teste de penetração, o informação dada aqui pode ainda ajudar a identificar possíveis lacunas em seu currículo ou capacidade de obter todas as informações pertinentes sobre a indústria. Eu também não incluem todos os recursos disponíveis, quer -que provavelmente poderia assumir todo o livro, a ser honesto. Minha intenção com este capítulo é tocar nas áreas com a maior impacto nesta profissão. Na mesma nota, se você acha que eu perdi um site valioso, certificação, convenção, ou mailing list, por todos os meios entrar em contato comigo e me avise. Há realmente é tanta informação lá fora, que é impossível encontrar tudo isso sem ajuda, de modo definitivamente espalhar a palavra e me mande um e-mail.

CAMINHOS DE CARREIRA Quando eu comecei a trabalhar com sistemas de informação, a única profissão real que existia, que tinha alguma coisa a ver com a segurança foi no campo da rede e sistema de certificação e acreditação (C & A). Hoje, há uma esmagadora número de escolhas para alguém entrar no campo. No entanto, este livro é apenas cerca de uma carreira -a de um verificador da penetração profissional. O problema é que, mesmo Abaixo, as escolhas de carreira para "A penetração tester "continua a não ajudar na criação de um plano de carreira -ainda existem muitas opções disponíveis quando se trata hora de escolher o que se especializar dentro Essas escolhas podem ser reduzida em três opções diferentes: redes, sistemas e aplicações. Discutiremos cada um um separadamente.


Tenha em mente que estaremos ainda discutindo os caminhos de penetração de carreira testes em um nível elevado. Cada uma das seguintes descrições podem ser divididas em mais campos distintos de estudo, conforme necessário. Também entendo que há um monte de crossover que ocorre entre os diferentes campos dentro de qualquer esforço de teste de penetração. Simplesmente indicado, as redes não são necessárias até que os sistemas existentes, os sistemas não são necessárias até aplicações existentes, e as aplicações não são necessários se não há rede, há a disseminar informação. É um ciclo de interdependência; entendimento de que nenhum das partes são mais importantes do que os outros irão auxiliá-lo na condução de seu Network Architecture testes de penetração própria. Quando alguém menciona arquitetura de rede, a primeira coisa que aparece na maioria dos mente das pessoas é TI. As escolas têm graus avançados projetados em torno do tema da TI ea melhor forma de usar e seguro arquiteturas de rede dentro das organizações. Certamente, este parece ser um caminho provável para a maioria dos testadores de penetração; No entanto, com base na experiência pessoal, este não parece ser o caso -a maioria vêm do campo de sistemas de informação, o que é lamentável. Testadores de penetração com um fundo arquitetura de rede pode identificar deficiências em uma grande variedade de projetos de rede, bem como a colocação de elementos dentro desses projetos. Deficiências de comunicação pode envolver diferentes protocolos utilizados dentro da rede, bem como dispositivos utilizados para fornecer e proteger o tráfego de comunicação. Recentemente, tem havido uma maior necessidade de penetração testadores familiarizado com redes. Agora que as empresas têm, finalmente, reconheceu a valor da segurança da informação (ok, talvez eu esteja exibindo ingenuidade dizendo isso), os processos estão no local para analisar aplicativos e sistemas regularmente, incluindo a digitalização das empresas e de terceiros auditorias. No entanto, as redes têm sido negligenciado, muitas vezes por causa da crença equivocada que tem sido em torno de anos que firewalls e sistemas de detecção de intrusão (IDSs) são ferramentas eficazes, simplesmente por causa de sua presença na rede. A realidade é que estas redes aparelhos são simplesmente "Velocidade solavancos ", e dispositivos de rede e comunicação protocolos são tão fáceis, se não mais fácil, para explorar os aplicativos e operacionais sistemas, dependendo da habilidade dos administradores de rede. Como tudo na segurança da informação, um aparelho de segurança está diretamente relacionada ao conhecimento possuída e esforço despendido por aqueles que configurar e manter o aparelhos. Especializando-se em arquiteturas de rede, um testador de penetração tem uma variedade de opções disponíveis. Existem várias certificações, organizações e grupos locais que se especializam na concepção, operação e segurança de redes. Por causa de a rede de apoio grande e demanda no mercado de firewall e IDS especialistas, muitos especialistas em segurança de informação acabam trabalhando apenas com que firewalls e IDSs. Este conhecimento certamente ajudaria um testador de penetração, mas porque há uma grande quantidade de empregos disponíveis, administradores e gerentes desses sistemas, torna-se difícil de transferir para fora para uma posição de testes de penetração mais tarde.

Caminhos da carreira 47

Independentemente disso, certifique-se de entender como muitas facetas diferentes da rede arquitetura como você pode se você quiser se tornar um pentest engenheiro. Saiba mais sobre os protocolos de comunicação, VoIP, roteadores, switches, IDS, firewall, wireless, Transmission Control Protocol (TCP), e qualquer outra coisa que você pode pensar. Tenho Pessoalmente, tive que aprender tudo isso e muito mais. É a minha desvantagem que eu não começam nesta área -especialmente considerando que eu faço avaliações mais rede (Avaliação de um projeto de rede para falhas de segurança em potencial) e penetração testes que eu faço sistema ou ataques aplicação. Creio que esta é a tendência do futuro também.

Administração do Sistema Sistema de gestão incorpora uma série de conceitos diferentes. Profissional testadores de penetração que se especializam em administração de sistemas muitas vezes começam com um tipo de sistema operacional e, em seguida, expandir esse conhecimento através da aprendizagem sobre as coisas tais como protocolos de comunicação segura, compartilhamento de arquivos, serviços de diretório, sistema de endurecimento, os processos de backup, e mais -basicamente qualquer coisa a ver com computadores e como eles operam. Existem muitos exploits anunciou a cada mês que visam o sistema subjacente, e não apenas os aplicativos instalados nos servidores. Compreendendo os meandros de um servidor pode ser extremamente benéfico para qualquer verificador da penetração que quer usar estas façanhas. Uma vantagem adicional para a familiarização do sistema está relacionado ao fato de que o caminho para um sistema muitas vezes envolve erro humano -não um exploit. Há uma série de coisas que podem ser mal configurado em um sistema (como permissões de arquivo, a senha política, e assim por diante), que pode então ser utilizado para ganhar acesso ao sistema. Saber o que procurar é muito mais fácil se você já está familiarizado com o que é um bem e mal desenhados servidor parece. Neste campo, há muitas certificações que podem ser obtidos, incluindo especificamente para certificações de segurança. Ambos Sun Microsystems ea Microsoft certificações visando a segurança do sistema, assim como outros sistemas operacionais. Tendo estas certificações podem somente ajudá-lo em seu caminho para se tornar um testador de penetração. TIP Uma armadilha que eu vejo os administradores do sistema cair é a falsa crença deve haver uma distinta linha divisória entre sistemas e aplicações. Muitas vezes, tenho visto divergências sobre responsabilidade entre os administradores de sistemas e aplicativos. Se você pretende selecionar testes de penetração como uma carreira, quanto mais você entende sobre os requisitos de aplicação, o mais eficaz será no campo. Lembre-se, tudo está dentro do ciclo de interdependência.

Uma vez que você se sentir confortável no projeto do sistema, haverá inevitavelmente algum crossover que ocorre. Se backups são feitos através da rede, você pode precisar familiarizar-se com protocolos de rede. Se você é responsável por um sistema que


mantém um aplicativo que traz vários milhões de dólares por mês, você vai sem dúvida, tornar-se bastante familiarizado com aplicação e questões de segurança de banco de dados. Em alguns casos, o design do sistema é a melhor escolha no momento de decidir qual campo para começar sua carreira, porque há tantos cruzamentos em diferentes campos.

Aplicações e bancos de dados Há uma demanda enorme para aplicação e teste de penetração do banco de dados profissionais. Uma vez que através do uso de aplicações são as formas mais empresas ganhar dinheiro no mundo de hoje Internet, os aplicativos precisam ser seguros para prevenir perdas monetárias ou cliente. Indústrias todo, existem que não fazem nada, mas o foco na segurança do aplicativo. Há pentest aplicações de digitalização que podem ajudar na identificação de vulnerabilidades de uma aplicação; mas clicando botões não é sempre a melhor opção para encontrar problemas. É aí que o engenheiro pentest vem dentro As pessoas que se especializam neste campo normalmente entender que é preciso para criação de aplicações (como um programador ou administrador de uma equipe de programação) e como eles interagem com bancos de dados. Muitas vezes, essas mesmas pessoas entender como criar e interagir com bases de dados. Esse conhecimento dá o teste de penetração a borda de um profissional sobre as outras áreas de conhecimento, especialmente na condução ataques remotos através de redes muito seguro. Inevitavelmente, para uma aplicação a ser benéfica, ela precisa interagir com as pessoas. Se essas pessoas estão na Internet, hacking a aplicação em si pode ser a única opção disponível para uma penetração testador. Certificações relacionadas à segurança para a aplicação e testadores de penetração de banco de dados são muito menos numerosos do que aqueles associados com as redes e sistemas. Este torna mais difícil para alguém que é especialista em aplicação e banco de dados teste de penetração para entrar em campo. Experiência anterior (que é geralmente programação) torna-se crítica quando em entrevistas de emprego para pentest posições; muitas vezes as empresas que você trabalhou para relutam em detalhes como você foi eficaz em penetrar suas defesas, tornando-se muito mais difícil para o progresso nesta profissão.

AVISO Não espere que alguém a contratá-lo com base em todos os ataques ilegais contra Internet aplicativos voltados. Embora hacks ilegal tem pessoas notaram no passado, corporativo de hoje ponto de vista sobre Chapéus Black é bastante negativo. Certificando-se de todo o seu trabalho é legítima ajudará convencer o gerente de contratação que você está "Parte do sistema não "contra ela, independentemente de a sua verdadeira filosofia.

Independentemente disso, é possível se tornar um testador de penetração profissional nesta campo da carreira, ele só exige um maior nível de esforço do que as outras duas opções. Se você pode expandir seus conhecimentos e habilidades em um dos outros dois campos, vai ajudar imensamente.

Certificações 49

CERTIFICAÇÕES Eu não quero entrar na discussão filosófica sobre o valor das certificações ou diplomas universitários neste capítulo. Deixe-me apenas declarar o seguinte, para que possamos seguir em frente: ■ Certificações e diplomas não "Provar" nada, outras que você pode fazer os exames. ■

Certificações e diplomas são muitas vezes necessário para passar de Recursos Humanos (HR), assim você pode obter uma entrevista.

■

Agências do governo exigem certificações certas para determinadas profissões.

■

Empresas interessadas na licitação em contratos com o governo deve atender requisitos de certificação, que muitas vezes requerem um número mínimo de informações certificações de segurança dentro da empresa e outro pessoal será atribuído ao projeto do governo.

■

Algumas empresas (incluindo Cisco e Sun Microsystems) exigem fornecedores para possuem certificações antes de os fornecedores podem vender serviços ou hardware.

■

Ceteris paribus, certificações e diplomas são os diferenciais entre funcionários e pode melhorar suas chances de um aumento, promoção, ou fornecer uma fuga de uma dispensa.

Se pudermos concordar com as afirmações anteriores, podemos avançar e dizer que realmente é importante para obter certificações. Ele mostra os empregadores que os seus empregados são motivados a melhorar a si mesmos, o que teoricamente se traduz em mais qualificados trabalhadores, um maior grau de competitividade e lucros a longo prazo para a empresa. Em grandes organizações, as certificações têm um papel muito maior na carreira de uma pessoa simplesmente porque o departamento de RH tem que olhar para tudo como um jogo de números se eles precisam de despedir 2.500 pessoas, eles não podem passar o tempo a descobrir sobre cada pessoa individualmente, elas precisam ser eficientes e encontrar um critério fácil para determinação quem fica e quem sai. Certificações e educação universitária prevê que critérios.


Tópicos de certificação Estou incluindo um monte de listas de bala neste capítulo para identificar o que o conhecimento é fundamental para o domínio da segurança da informação e testes de penetração. O perigo é que estas listas só serão olhou por cima e não realmente ler para o conteúdo. Eu incentivá-lo -o leitor -realmente foco sobre as informações fornecidas neste capítulo, especialmente as balas. Eles têm pessoalmente, me ajudou a identificar quais áreas eu preciso focar e assistida na criação de uma carreira roteiro para mim. Elas podem ser úteis para você também.

Em pequenas empresas, decisões de RH pode envolver mais do ser humano perspectiva de quando chega a hora de demissões, promoções ou aumentos. Normalmente, o


gestores são mais poderes para determinar estes tipos de atividades. No entanto, se a pequena empresa sobrevive com contratos com o governo ou precisa distinguir-se da competição, certificações tornam-se muito importante, muito rapidamente. O que acontece (para aqueles de vocês que estão familiarizados com a maneira como as agências do governo adjudicar contratos) é quando uma empresa lances em um contrato oferecido pelo governo agência, a empresa tem de incluir uma lista de pessoal que será atribuído ao contrato, juntamente com certificações e graus. As certificações mais e graus eles podem incluir, a melhor chance que eles têm de ganhar o contrato. Mesmo que você nunca tem que ganhar um contrato de governo ou convencer que você HR são competentes, se você sempre tem que olhar para um trabalho como verificador da penetração, obtendo certificações ainda é importante. Ele mostra os empregadores que você se importa o suficiente sobre o seu próprio currículo para fazer o trabalho necessário para obter as certificações. Eu tenho conversado com contratação de gerentes e eles sem rodeios explicou que quando alguém entrevista que que afirma que eles sabem como fazer um trabalho, mas não tem as certificações, a contratação gerente não tem interesse em contratar essa pessoa. As razões têm variado, mas parece ■ Excessivamente os gestores assumem aegoísta pessoae épensa um oumuito maisbem dos de seguintes: si mesmos, o que tornaria difícil para o entrevistado para caber em um ambiente de equipe ■ ■

Muito preguiçoso, se eles não podem sequer sentar-se para um exame que dura apenas algumas horas Muito opinativo sobre o tema, o que pode indicar teimosia outro traço de personalidade negativos que não se presta a uma definição da equipe

Eu não acredito que este é sempre o caso, mas certo ou errado, essas opiniões têm sido expressa. Na verdade, não há uma razão muito válida para não buscar certificações. Mesmo se você não concordar com a idéia por trás certificações, há motivos de sobra para obter uma -o melhor sendo que você pode obter um emprego ou, eventualmente, ajudá-lo a manter um em maus momentos. Então, qual delas você deve começar a se tornar um profissional de penetração tester? Vou dar o universal "Doninha" resposta e dizem "Ele depende. "Mas ele realmente não depende de quais são seus interesses, então eu não estou sendo tímido na minha resposta. Na minha próprios objetivos pessoais, decidi começar o seguinte: ■ Específicas do sistema: Sun Certified System Administrator (SCSA) Sun Certified Network Administrator (SCNA) Sun Certified Security Administrator (SCSECA) ■

Gerais de segurança: International Information Systems Security Certification Consortium [(ISC) ²] Certified Information Systems Security Professional (CISSP) (ISC) ² Information Systems Security Management Professional (ISSMP)

■

Avaliação de competências: Agência de Segurança Nacional INFOSEC Metodologia de Avaliação (IAM) Agência de Segurança Nacional INFOSEC Metodologia de Avaliação (IEM)

Certificações 51

Que me deu uma lista bem-arredondado de certificações relacionadas a ISS e tem me serviu bem para o que estou fazendo atualmente. Eu preciso ser muito claro que essas certificações são o que funcionou para mim e não deve ser usado como um modelo para de qualquer outra pessoa carreira. Por exemplo, se você estiver interessado na realização de VoIP testes de penetração, com exceção de alguns dos meus certificações são irrelevantes. Para lhe dar uma idéia melhor do que os tipos de certificações podem ser mais relevantes para a sua própria plano de carreira, estou incluindo uma lista das certificações mais conhecidas na indústria.

Alto Nível Certificações Entender que não muito tempo atrás, não havia certificações envolvendo ISS. Na verdade, ISS é uma disciplina muito nova que tinha sido relegado para o estudo de recuperação de desastres por mais tempo. Tentando identificar Melhor " práticas "sobre ISS era um quase tarefa impossível. No final de 1980, o governo dos EUA tentou codificar algum sistema gerenciamento de configuração na Rainbow Series; especificamente no NCSC-TG-006, mais conhecido como Livro Orange. Embora o Rainbow Series desde um monte de sistema de orientações específicas e as informações sobre a segurança do sistema, não havia qualquer coisa em um nível mais elevado, especialmente para a gestão. Para preencher esta lacuna, uma variedade de certificações e padrões foram desenvolvidos, mas, eventualmente, apenas um par diferentes organizações tornou-se a escolha defacto para as certificações de alto nível ISS.

Ferramentas e Armadilhas ... A série Rainbow

Enquanto muitas pessoas consideram o Rainbow Series como algo relegado a história, a Rainbow Series ainda está sendo usado como um padrão dentro de alguns contratos com o governo. Geralmente, esses contratos têm existido por muitos anos e realmente deve ser reescrita, mas ao invés de pagar para ter o contrato reescrito (o que tornaria o custo total do contrato muito, muito maior para fazê-la cumprir com os regulamentos federal), o contrato é deixado como está. Se você está interessado em realmente a leitura do Rainbow Series, mesmo apenas a entender a história da ISS, visite www.fas.org / irp / ncvs / rainbow.htm

(ISC) ² O (ISC) ² é provavelmente mais reconhecido pelo organismo de certificação para a ISS. Localizado na Internet em www.isc2.org, eles fornecem as seguintes informações sobre se [(ISC) 2]:

Sobre o (ISC) ² Com sede nos Estados Unidos e com escritórios em Londres, Hong Kong, e Tóquio, o (ISC) ² é o global, o líder não tem fins lucrativos na educação e certificação


informações profissionais de segurança ao longo das suas carreiras. Somos reconhecidos por Gold Standard Certificações e programas de educação de classe mundial. Nós fornecemos produtos vendedor-neutra educação, serviços de carreira, e Gold Credenciais padrão para profissionais em mais de 135 países. Temos orgulho em nossa reputação baseada na confiança, integridade e profissionalismo. E nós temos orgulho de nossos membros -uma rede de elite de cerca de 60.000 profissionais da indústria certificadasnais em todo o mundo.

Nossa Missão Nosso objetivo é tornar o mundo um lugar seguro cyber através da elevação da informação segurança para o domínio público e através do apoio e desenvolvimento de informações profissionais de segurança em todo o mundo.

O (ISC) ² CBK (ISC) ² desenvolve e mantém o (ISC) ² CBK, um compêndio de informações temas de segurança. O CBK é um corpo de conhecimento crítico que define global padrões da indústria, servindo como um quadro comum de termos e princípios que nossas credenciais são baseadas em e permite aos profissionais de todo o mundo para discutir, debate, e resolver assuntos relacionados ao campo. Especialistas no assunto continuamente rever e actualizar a CBK.

Programas de Certificação Universalmente reconhecido como o padrão-ouro em certificações de segurança da informação, nossas credenciais são essenciais para indivíduos e empregadores para a perfeita segurança e proteção dos ativos de informação e infra-estruturas.

TIP Se você é mesmo um pouco interessado em trabalhar em um contrato com o governo, você precisa ser familiarizado com os requisitos de certificação. O Departamento de Defesa (DoD) emitiu DoD Directiva 8570 para o estado as suas necessidades de postos de trabalho diferentes. Você pode ler da directiva em toda www.dtic.mil/whs/directives/corres/pdf/857001m.pdf

O (ISC) ² possui certificações ISS para diferentes funções dentro de um programa ISS, incluindo especializações em engenharia, arquitetura, gerenciamento e software ciclo de vida. Cada certificação tem domínios tópico diferente dentro de ISS. O seguinte é uma lista de certificações diferentes e domínios associados a cada um. Tenho incluiu a definição da organização para que cada um prestar alguns esclarecimentos quanto ao sua aplicabilidade a uma carreira ISS.

Associate of (ISC) ² Esta designação foi criado para pessoas que não atendem a experiência requisitos para obter qualquer uma das outras certificações com o (ISC) ². O associado da (ISC) ² mostra designação para um empregador (potencial) que os associados têm a

Certificações 53

conhecimento para obter as certificações, mesmo que eles não têm a experiência. Uma vez os associados têm a experiência necessária, eles podem receber tanto o Systems Security Certified Practitioner (SSCP) ou o CISSP, dependendo de qual dos dois testes que tomou como parte dos requisitos para obter a designação Associados.

SSCP [(ISC) 2] "Com experiência tão pouco como um ano de trabalho na área de segurança da informação, você pode tornar-se certificado como um Practitioner Systems Security Certified (SSCP). O SSCP é ideal para aqueles que trabalham para cargos como engenheiros de segurança de rede, Analistas de segurança Systems, ou Administradores de Segurança. Esta é também a perfeita curso para o pessoal em muitas outras organizações não-segurança disciplinas que requerem uma compreensão da segurança, mas não têm a segurança da informação como uma parte primária de descrição do seu cargo. Este grupo inclui grande e crescente de sistemas de informação auditores, programadores de aplicativos, sistema, rede e administradores de banco de dados; representantes comerciais da unidade, e analistas de sistemas. " SSCP domínios: ■ Controla o acesso ■

Análise e Monitoramento

■

Criptografia SSCP

■

Código malicioso

■

Redes e Telecomunicações

■

De risco, resposta e recuperação de

■

Operações de Segurança e Administração

Certificação e Acreditação Profissional (CAP) "Uma medida objetiva do conhecimento, competências e habilidades necessárias para o pessoal envolvidos no processo de certificação e acreditação de segurança da informação sistemas. Especificamente, esta credencial aplica-se aos responsáveis pela formalização processos utilizados para avaliar o risco e estabelecer requisitos de segurança. Suas decisões irá garantir que os sistemas de informação possuem segurança compatível com o nível de exposição ao risco em potencial, bem como danos a bens ou pessoas. A credencial é apropriado para os governos estaduais, civis e local na EUA, bem como os mercados comerciais. Funções de trabalho, como funcionários de autorização, proprietários do sistema, os donos da informação, oficiais de segurança da informação do sistema, e certificadores, bem como todos os gestores do sistema sênior aplicar ". CAP domínios [(ISC) 2]: ■

Entendimento com vista à certificação

■

Iniciação do processo de autorização do Sistema

■

Fase de certificação


■

Acreditação Fase

■

Fase de Monitoramento Contínuo

Certified Software Secure Lifecycle Professional (CSSLP) [(ISC) 2] "Desde todo mundo que faz parte do ciclo de vida do software (SLC) precisa entender segurança, todos com pelo menos 4 anos de experiência no SLC necessidades CSSLP, incluindo desenvolvedores de software, engenheiros e arquitetos, gerentes de projeto, software QA, testadores de QA, analistas de negócios e os profissionais que gerenciam essas partes interessadas. " CSSLP domínios: ■

Conceitos Secure Software

■

Seguro de Requisitos de Software

■

Design Software Secure

■

Implementação Software Secure / Coding

■

Teste de Software Secure

■

Software Aceitação

■

Implantação de software, operações, manutenção e eliminação

CISSP [(ISC) 2] "O CISSP foi a primeira credencial no campo da segurança da informação, acreditada pelo o ANSI (American National Standards Institute) para ISO (International Standards Organização) 17024:2003 Standard. CISSP certificação não é apenas um objectivo medida de excelência, mas um padrão mundialmente reconhecido de realização. " CISSP domínios: ■

Controle de Acesso

■

Application Security

■

Continuidade de Negócios e Planejamento de Recuperação de Desastres Criptografia

■ ■

Segurança da Informação e Gestão de Risco

■

Legais, regulamentos, Compliance, e investigações

■

As operações de segurança

■

Física (Ambiental) de Segurança

■

Security Arquitetura e Design

■

Segurança em redes e telecomunicações

Certificações 55

(ISC) ² tem algumas certificações de concentração, bem como, para obter estes concencertificações concentração, o titular já deve ter obtido o CISSP. O concentrações estão no campo da arquitetura, engenharia, gestão e. Cada concentração utiliza um subconjunto dos 10 domínios do CISSP e requer o titular para mostrar um nível mais profundo de conhecimento dentro desses domínios do que o que foi necessárias para obter o CISSP. Como um testador de penetração, essas concentrações podem ajudar a compreender as complexidades da segurança de uma rede, no entanto, usar o melhor desses corpos de conhecimento envolve a realização de avaliações de risco global e transmitir resultados para a alta gerência. Para os engenheiros, os Sistemas de Informação Arquitetura de Segurança Profissional (ISSAP) e Sistemas de Informação de Segurança Engenharia Professional (ISSEP) são boas opções, enquanto o ISSMP seria ser mais adequados para a gestão e gerentes de projeto (PMs).

CISSP-ISSAP [(ISC) 2] "Este concentração exige um candidato para demonstrar a dois anos de profissional experiência na área de arquitetura e é uma credencial apropriada para Chefe Arquitetos e Analistas de segurança que podem normalmente trabalham como consultores independentes ou em capacidades semelhantes. O arquiteto tem um papel fundamental dentro da segurança da informação departamento com responsabilidades que funcionalmente ajuste entre o C-suite e superior nível gerencial e da implementação do programa de segurança. Ele / ela geralmente se desenvolvem, design, ou analisar o plano de segurança global. Embora este papel pode normalmente ser estreitamente ligada à tecnologia isso não é necessariamente o caso, e é fundamentalmente o processo de consulta e de análise de segurança da informação. " ISSAP domínios: ■ Sistemas de controle de acesso e Metodologia ■

Criptografia

■

Integração de segurança física

■

Análise de requisitos e de Padrões de Segurança, Diretrizes e Critérios

■

Relacionados à tecnologia de Continuidade de Negócios e Planejamento de Recuperação de Desastres Segurança em redes e telecomunicações

■

CISSP-ISSEP [(ISC) 2] "Este concentração foi desenvolvido em conjunto com a Segurança Nacional dos EUA Agency (NSA) fornecendo uma ferramenta inestimável para qualquer segurança de sistemas de engenharia profissionais. CISSP-ISSEP é o guia para a incorporação de segurança em projetos, aplicações, processos de negócios, e todos os sistemas de informação. Profissionais de segurança nais estão famintos por metodologias viáveis e melhores práticas que podem ser usados para integrar a segurança em todas as facetas das operações de negócios. O modelo ensinado em SSE a parte IATF do curso é uma luz orientadora no campo da segurança da informação ea incorporação de segurança em todos os sistemas de informação. "


Domínios ISSEP só pedir um casal de domínios na lista CISSP e adicionar um mais algumas exigências do governo para discutir: ■

Certificação e Acreditação

■

Sistemas de Engenharia de Segurança

■

Gestão Técnica

■

U. S. Governo Assurance Regulamentos Informação

CISSP-ISSMP [(ISC) 2] "Este concentração exige que o candidato demonstrar dois anos de experiência profissional na área de gestão, considerando-o em maior em toda a empresa modelo de segurança. Esta concentração contém mais profundo de gestão elementos, tais como gerenciamento de projetos, gestão de riscos, criação e entrega de um programa de conscientização, segurança e gerenciamento de um Plano de Continuidade de Negócios programa. Um estabelece CISSP-ISSMP, presentes, e governa a segurança da informação políticas e procedimentos que são favoráveis às metas de negócios global, em vez de um dreno de recursos. Tipicamente, o titular da certificação CISSP-ISSMP ou candidato será responsável pela construção da estrutura da segurança da informação departamento e definir os meios de apoiar o grupo internamente. " ISSMP domínios: ■

■

Planejamento de Continuidade de Negócios (BCP) e Planejamento de Recuperação de Desastres (DRP) e Continuidade de Planejamento de Operações (COOP) Enterprise Security Management Practices

■

Em toda a empresa Security Development System

■

Lei, Investigações, Forensics, e Ética

■

Compliance fiscalização das operações de segurança

Estas certificações são bem reconhecidos dentro da ISS. Uma das coisas que eu faço quando determinar o valor de uma certificação é olhar para cima quantos empregos existem, que são procurando especificamente para a certificação. Embora isso realmente não me diga como bem essas certificações se traduzem em empregos Testing Professional Penetração, é sempre bom saber o quanto de uma demanda existe para as certificações antes que eu salto em treinamento para eles, especialmente quando se fala de alto nível certificações. Naturalmente, a demanda por certificações diferentes mudam com o tempo, mas ainda é útil quando a tentar decidir como gastar seu dinheiro em treinamento. No www.Monster.com local de trabalho, a repartição é a seguinte para os trabalhos postados dentro Estados Unidos: ■ ■ ■

SSCP: 53 postos de trabalho CISSP: 722 empregos ISSAP: 8 vagas de emprego

Certificações 57

■ ■

ISSEP: 19 postos de trabalho ISSMP: 2 vagas

Ao passo que não parecem ser muitas posições disponíveis para a concentração certificações, isso não significa que a demanda não é por estas habilidades. Como mencionado anteriormente, o DoD requer certas certificações para trabalhos diferentes, e os ISSEP e ISSAP são duas certificações que atendam aos requisitos do DoD. É importante para adaptar suas certificações de acordo com seus objetivos pessoais, que é por isso que eu Pessoalmente, tenho a ISSMP, mesmo que a demanda é bastante baixo na indústria.

Sistemas de Informação de Auditoria e Controle Association (ISACA) A ISACA, encontrado em www.isaca.org, tem um certificações poucos que se traduzem em testes de penetração profissional, especialmente como uma certificação de alto nível. Iniciado em 1967, foco principal da ISACA tem sido em torno de auditorias do sistema. Embora a auditoria em si é um foco bem diferente do que testes de penetração, há uma abundância de habilidades que se sobrepõem esses dois campos de carreira. Para os engenheiros, o Certified Information Sistemas de Auditor (CISA) seria um melhor ajuste, enquanto que os gerentes seria melhor adequado com o Information Security Certified Manager certificação (CISM). ISACA define seus domínios um pouco diferente do (ISC) ². Ao invés de focalizar domínios do conhecimento, o ISACA se concentra em trabalhos dentro da ISS.

CISA De acordo com a ISACA (ISACA), "Possuindo a designação CISA demonstra proficiência e é a base de medição na profissão. Com uma crescente demanda por profissionais que possuem IS controlo, auditoria e habilidades de segurança, CISA tem tornar-se um programa de certificação preferido pelos indivíduos e organizações em todo o mundo. Certificação CISA significa compromisso de servir uma organização e É o controlo, auditoria e indústria de segurança com distinção ". Trabalho CISA domínios prática (ISACA): ■

É processo de auditoria

■

Governança de TI

■

Sistemas e Gestão de Infra-Estrutura do Ciclo de Vida

■

IT Service Delivery e Support

■

Proteção dos Ativos de Informação

■

Continuidade de Negócios e Recuperação de Desastres

CISM Os estados que o CISM ISACA é "Desenvolvido especificamente para experientes gestores de segurança da informação e aqueles que têm a segurança da informação gestão responsabilidades ment. A certificação CISM é para o indivíduo que gerencia, projetos, supervisiona e / ou avalia a segurança de uma empresa de informação (SI). O CISM


certificação promove práticas internacionais e fornece a gerência executiva com a garantia de que aqueles que ganham a designação têm a experiência necessária e conhecimento para fornecer gerenciamento de segurança eficaz e serviços de consultoria " (ISACA). CISM domínios de trabalho prática (ISACA): ■

Information Security Governance

■

Gestão de Risco informação

■

Informação sobre o Desenvolvimento do Programa de Segurança Gestão de Informação do Programa de Segurança

■ ■

Gerenciamento de Incidentes & Response

Olhando para os números oferta de emprego novamente a partir www.Monster.com, vemos o seguintes resultados: ■

CISA: 585 empregos

■

CISM: 105 empregos

Comparado com o CISSP, estas certificações não parecem ser tanto em demanda, mas lembre-se planos de carreira diferentes requerem diferentes certificações. Dentro do governo federal, C & A é um componente importante na implantação de qualquer arquitetura de informação do sistema, e as certificações pela ISACA são um pouco mais alinhados com a C & A e DoD atender Directiva 8570 para postos de trabalho determinados dentro da DoD, como visto na Figura 3.1 (Departamento de Defesa dos EUA, 2008).

Global Information Assurance Certification (GIAC) O GIAC é um outro organismo de certificação que tem algumas certificações que atendem a ISS DoD Directiva 8570 requisitos, como mostrado na Figura 3.1, especificamente, GIAC Security Essentials Certificação (GSEC), Fundamentos de Segurança da Informação GIAC (GISF), GIAC Security Certification Liderança (GSLC) e GIAC Security Expert (GSE). No entanto, as certificações de alto nível são o GSE ea GSLC. Uma diferença entre GIAC e os organismos de certificação anterior é a GIAC não romper corpos de conhecimento -sim, detalhes em cada lista de certificação de um dos temas de que o titular tem de ser entendido. O vantagem disso é que lhe permite identificar as áreas nas ISS, que são essencial para compreender o assunto a fundo, que é por isso que estou incluindo-os dentro deste capítulo. Isto irá permitir que você se concentre sua formação como uma penetração testador muito melhor por saber o que a indústria espera que você sabe quando você obter um projeto pentest novo. Como eu mencionei no início do livro, você poderia provavelmente passar a vida inteira em cada um dos tópicos listados dentro do lista de certificação de protocolos e conceitos. O nível real de conhecimento será variam de acordo com os objetivos de cada certificação -certificações técnicas será

Certificações 59

Nível I IAT

IAT Nível II

A+

IAT Nível III

GSEC Segurança + SCNP SSCP

Rede + SSCP Nível I IAM

CISA CISSP (Ou Associado) GSE SCNA

IAM Nível II

IAM Nível III

GISF

GSLC

GSLC

GSLC

CISM

CISM

Segurança +

CISSP (Ou Associado)

CISSP (Ou Associado)

Analista de CND

Infra-estrutura CND Apoio

GCIA

SSCP

IASAE I CISSP (ou Associado)

Incidente CND Responder

Auditor CND

CND-SP Gerente

GCIH

CISA

CISSP-ISSMP

CSIH

GSNA

CISM

IASAE II CISSP (ou Associado)

IASAE III ISSEP ISSAP

FIGURA 3.1 DoD Directiva 8570 Gráfico

certamente exigir uma compreensão mais profunda dos protocolos de gestão certificações.

NOTA Mesmo que eu consulte o DoD Directiva 8570, isso não implica os requisitos no âmbito da directiva são os únicos que você deve se preocupar com. Dependendo do seu foco e requisitos de conformidade regulamentar, a directiva DoD pode ser o caminho errado mapa a seguir.

GSLC Parte da trilha de gestão, o GSLC destina-se a "Segurança Profissionais com responsabilidade gerencial ou de supervisão para o pessoal de segurança da informação " (Global Information Assurance Certification [GIAC]). O conhecimento para esta certificação não se estende muito profundamente em aspectos técnicos e cobre muitas das as mesmas áreas do conhecimento como ISACA e (ISC) ² certificações de gestão. O lista de tópicos relacionados à GSLC podem ser encontrados na Tabela 3.1 (GIAC).


Tabela 3.1 Tópicos GSLC Objetivos do Exame de Certificação ■

802,11

■

Gestão de Fraude

■

Gestão de Pessoas Técnica

■

Controle de Acesso e Gerenciamento de senhas

■

Tipos gerais de Criptográficos

■

Gestão da Missão

■

Advanced Reconnaissance Vulnerabilidade e Digitalização

■

Honeypots e honeynets

Gestão do Procurement Processo

■

Tratamento de Incidentes e do Regime Jurídico

■

Gerenciando o Custo Total de Propriedade

■

Tratamento de Incidentes Fundações

■

Métodos de ataque

■

Mitnick-Shimomura

■

Ofensiva OPSEC

■

Vulnerabilidade ofensiva Exploração

■

PGP e PKI

■

Gerenciamento de Projetos para Líderes de segurança

■

Gestão de Riscos e Auditoria

■

Segurança e Organizacional Estrutura

■

■

■

■

■

■

■

Construção de uma Segurança Programa de Conscientização Business Situacional Conscientização

■

Guerra de Informação

Gestão da Mudança e Segurança

■

Terminologia e IP Conceitos

Computador e da rede Endereçamento

■

Software malicioso

Algoritmos de criptografia e Conceitos Aplicações de criptografia, VPNs IPSec e

■

Fundamentos de criptografia

■

De defesa em profundidade

■

Defensiva OPSEC

■

Recuperação de Desastres / Planos de Contingência

■

DNS

■

Instalações, Segurança e Segurança física

■

Sabedoria gerencial

■

Ética gestão

■

Gestão global

■

Gestão Intelectual Propriedade

■

Gerenciamento de TI e Business■ Esteganografia Crescimento programa ■ A Rede Inteligente Gestão Responsabilidade Legal ■ A infra-estrutura de Rede Negociações gestão ■ Web e Comunicação Gestão de Privacidade Segurança

■ ■ ■ ■

Gerenciando Política de Segurança ■ Vantagens sem fio e

■

Segurança Software gestão

Bluetooth

GSE O GSE é um pouco diferente de outras certificações GIAC, na medida em que exige conhecimento dentro de múltiplas certificações de alto nível. As certificações necessárias para ter o mesmo GSE são os GSEC, GIAC Certified Intrusion Analyst (GCIA), e GIAC Certified Incident Handler (GCIH), que estão todos dentro da lista de Segurança O GSE certificações administração também é dividido em especializações, incluindo o GSE-Malware e GSE-Compliance, que exigem diferentes certições do que os listados para o GSE. O número de pessoas que realmente ter estas certificações são muito poucos, mas certamente distinguir-se a partir de outras certificações. Os domínios do conhecimento para o GSE são as seguintes (GIAC):

Certificações 61

■

IDS e domínio Análise de Tráfego Capturar o tráfego de Analisar o tráfego Interpretar Traffic Ferramentas IDS

■

Domínio Incident Handling Processo de IH Ataques comuns Malware Preservação da prova

■

ITSEC Domínio Segurança do Windows UNIX Segurança Comunicações Seguras Protocolos Princípios de segurança

■

Security Technologies Domínio Firewalls Vulnerabilidade Scanners e Port Scanners Sniffers e Analisadores Ferramentas comuns

■

Domínio Soft Skills Política de Segurança e Problemas de negócio Guerra de Informação e Engenharia Social Capacidade de Escrever Capacidade de Presente Capacidade de analisar Trabalho em equipe

A certificação exige GSE conclusão bem sucedida de duas atividades -um exame escrito e um laboratório hands-on. O laboratório é de 2 dias e exige que o requerente fornecer um relatório escrito e oral que atende as normas GIAC para demonstrar conhecimento em tratamento de incidentes e de Detecção de Intrusão. Há adicionais Certificações GIAC disponível e será discutido mais tarde neste capítulo. Para ver mais sobre as certificações GSE, visite www.giac.org / certificações / gse.php.

CompTIA Identificando-se como "O maior desenvolvedora mundial de fornecedor neutro TI exames de certificação ", CompTIA desenvolveu uma certificação específica para inforsegurança informação. Segurança + ■

Os sistemas de segurança Diferenciar entre as várias ameaças de sistemas de segurança. Explicar os riscos de segurança relativas a sistemas de hardware e periféricos.


Implementar práticas OS endurecimento e procedimentos para alcançar workstation e segurança do servidor. Realizar os procedimentos adequados para estabelecer a segurança do aplicativo. Implementar aplicações de segurança. Explicar a finalidade e aplicação da tecnologia de virtualização. ■

Infra-estrutura de rede Diferenciar entre os diferentes portos e protocolos de suas respectivas ameaças e técnicas de mitigação. Distinguir entre elementos de rede design e componentes. Determinar o uso apropriado de ferramentas de segurança de rede para facilitar rede segurança. Aplicar as ferramentas de rede adequada para facilitar a segurança da rede. Explicar as vulnerabilidades e mitigações associados com a rede dispositivos. Explicar as vulnerabilidades e mitigações associados com vários transComissão de mídia. Explicar as vulnerabilidades e implementar mitigações associados rede sem fio.

■

Controle de Acesso Identificar e aplicar as melhores práticas da indústria para os métodos de controle de acesso. Explicar os modelos de acesso comum de controle e as diferenças entre cada um. Organizar os usuários e computadores em grupos de segurança apropriadas e papéis enquanto a distinção entre direitos e privilégios apropriados. Aplicar controles de segurança adequado para arquivo e impressão recursos. Comparar e aplicar métodos de controle de acesso lógico. Resumir os vários modelos de autenticação e identificar os elementos de cada um. Implantar modelos de autenticação diferentes e identificar os componentes da cada um. Explicar a diferença entre a identificação e autenticação (identidade proofing). Explicar e aplicar métodos de segurança de acesso físico.

■

Avaliações e auditorias Realizar avaliações de risco e implementar mitigação de riscos. Realizar avaliações de vulnerabilidade usando ferramentas comuns. Dentro da esfera de avaliação de vulnerabilidade, explicar o uso adequado de testes de penetração versus análise de vulnerabilidades. Use ferramentas de monitoramento de sistemas e redes e detectar relacionadas à segurança anomalias. Comparar e contrastar os vários tipos de metodologias de monitoramento. Executar os procedimentos corretos de registro e avaliar os resultados. Realizar auditorias periódicas de configurações de segurança do sistema.

Certificações 63

■

Criptografia Explicar conceitos de criptografia em geral. Explicar os conceitos básicos e algoritmos de hash map vários apropriar aplicações. Explicar os conceitos básicos e algoritmos de criptografia mapa várias adeaplicações adequadas. Explicar e implementar protocolos. Explicar conceitos básicos de criptografia de chave pública. Implementar PKI e gerenciamento de certificados.

■

Segurança organizacional Explicam o planejamento de redundância e seus componentes. Implementar procedimentos de recuperação de desastres. Diferenciar e executar procedimentos de resposta apropriada a incidentes. Identificar e explicar a legislação aplicável e políticas organizacionais. Explicar a importância dos controles ambientais. Explicar o conceito de e como reduzir os riscos de engenharia social.

A CompTIA Security + é uma dessas certificações identificadas no DoD Directiva 8570, ea lista de tópicos abordados no exame fornecer uma ampla cobertura de questões ISS. De lidar com os outros na indústria, a CompTIA Security + certificação parece ser visto como o primeiro passo na obtenção de nível superior certificações, em especial o CISSP. Embora isso certamente parece fazer sentido baseada simplesmente em DoD Directiva 8570, tenha em mente que a certificação de cada pessoa e roteiro de carreira deve ser projetado em torno de objetivos de longo prazo, e não simplesmente com base no que o DoD acha que eles devem ter. Como veremos mais tarde, a Microsoft também aceitou CompTIA Security + como uma certificação capaz de atender uma das MSCE: requisitos de certificação de segurança. Novamente, selecione certificações com base na seus objetivos de carreira que fazem sentido. Eventualmente, a Directiva 8570 será alterado e podem incorporar novas certificações (ou drop outros) na lista. Seria um vergonha se sua carreira inteira foi baseada em algo como DoD 8570, simplesmente porque outros disseram que era a melhor coisa a fazer.

Project Management Institute (PMI) O PMI oferece uma variedade de certificações, incluindo a sua mais conhecida -o Project Management Professional (PMP) credencial. Embora esta certificação não é diretamente relacionada à ISS, tendo um PM qualificados em sua equipe durante um teste de penetração é extremamente benéfico, assumindo que as MPs podem traduzir seu conjunto de habilidades para o pentest arena. Os domínios do conhecimento para o PMP são as seguintes: ■ Iniciação ■

Planejamento

■

Execução

■

Acompanhamento e Controle


■

Encerramento

■

Responsabilidade Profissional e Social

Estaremos integrando estes domínios com o teste de penetração diferentes metodologias neste livro, no entanto, só vamos discutir as questões que são específicas para testes de penetração. Há um monte de conhecimento associado com PM, e não existe uma maneira viável podemos cobrir todos os aspectos da PM dentro deste livro. Para aqueles de vocês que estão completamente familiarizados com gestão de projetos, vou tentar e explicar qualquer coisa que discutimos neste livro relacionado a PM, basta entender que, como qualquer outro assunto neste livro, você terá que gastar algum tempo com outras material de referência fora do que cobrimos aqui.

Método de Desenvolvimento de Sistemas Dinâmicos (DSDM) Consórcio Eu seria negligente se eu não falar de gerenciamento de projetos ágeis. A maioria das pessoas ter pelo menos ouvido falar de programação ágil, mas há um monte de PMs lá fora, que ter convertido a um estilo mais flexível de gerenciamento de projetos. O DSDM é um metodologia de desenvolvimento de software originalmente baseado no Rapid Application Metodologia de desenvolvimento. Concedido, DSDM é apenas um de uma multidão de ágil métodos de desenvolvimento de software, no entanto, é um bom ponto de partida para descobrir se o gerenciamento ágil é útil com seus esforços de testes de penetração. Ágeis outros metodologias incluem o seguinte: Extreme Programming, Scrum, Adaptive Desenvolvimento de Software, Crystal, Feature Driven Development, e Pragmática programação. Qual a metodologia que você usa é até você, mas há algumas princípios fundamentais que existem em todas as formas de metodologias ágeis, que são indicado no "Agile Manifesto "(Beck et al, 2001.)

Nossa maior prioridade é satisfazer o cliente através cedo e contínua entrega de software valioso. Bem-vindo requisitos em constante mudança, mesmo tarde no desenvolvimento. Processos ágeis gerir a mudança para a vantagem competitiva do cliente. Entregar software funcionando freqüentemente, a partir de um par de semanas para um casal de meses, com uma preferência para a escala de tempo mais curto. Homens de negócio e desenvolvedores devem trabalhar juntos diariamente durante o projeto. Construir projetos em torno de indivíduos motivados. Dar-lhes o ambiente e suporte que precisam, e confiar neles para obter o trabalho feito. O método mais eficiente e eficaz de transmitir informações para e dentro uma equipe de desenvolvimento está face-a-face conversa. Trabalhando software é a principal medida de progresso. Processos ágeis promovem o desenvolvimento sustentável. Os patrocinadores, desenvolvedores e usuários devem ser capazes de manter um ritmo constante indefinidamente. Atenção contínua à excelência técnica e bom design aumenta a agilidade.

Certificações 65

Simplicidade, a arte de maximizar a quantidade de trabalho não for feito, é essencial. As melhores arquiteturas, requisitos e projetos emergem de auto-organização equipes. Em intervalos regulares, a equipe reflete sobre como se tornar mais eficaz e, em seguida tunes e ajusta seu comportamento em conformidade. As metodologias ágeis têm vantagem sobre uma metodologia mais estruturada como a defendida por PMI é que os métodos ágeis são excepcionalmente bem concebido para uso com projetos que não produzem componentes reutilizáveis. Na penetração teste, é uma rara ocasião quando dois pentest projetos são idênticos; usando um ágil processo permite que a sua equipa a ser muito mais flexível ao lidar com imprevistos desafios. Há algumas certificações que se relacionam com a programação ágil e projeto gestão, incluindo alguns do Consórcio DSDM, mas os conceitos por trás o método ágil tendem a empurrar a crença de que as certificações nunca deve ser utilizado como um discriminador no local de trabalho. Isso tem o efeito de minimizar qualquer certificações realizadas por um indivíduo relacionada com o processo ágil e forçado as empresas a analisar a história trabalhar em estreita colaboração para determinar a melhor qualificado indivíduos dentro de uma organização. Embora isto permite que as pessoas estão em suas mérito próprio, em vez de um pedaço de papel, ele apresenta um problema para a contratação gestores, porque não há padronização na qual a medida aparentemente semelhantes requerentes. Para este livro, estaremos furando com o padrão PMI para o projeto gestão, principalmente por causa da grande aceitação desta metodologia dentro da indústria de TI. Novamente, isso não significa que PMI é melhor, na verdade, eu argumentam que o oposto é verdadeiro quando comparado com a metodologia ágil.

Competências e certificações específicas do fornecedor

Ter alto nível certificações são muitas vezes suficiente para aqueles em gestão. Depois tudo, o gerente realmente não precisa saber como bits de controle existentes no TCP cabeçalho -eles só precisam saber que existe uma e que os engenheiros podem pentest manipular os bits. No entanto, se você é o engenheiro, você deve estar intimamente familiarizado com o lado técnico da Segurança da Informação e Comunicação protocolos. Que é onde a habilidade específica certificações caber em objetivos de uma pessoa carreira. NOTA Muitas das certificações discutidas nesta seção são boas apenas para 2 ou 3 anos e exigem recertificação. Algumas certificações são-lançamento específico (como a Sun Microsystem certificações) e não vai expirar. Outras certificações não são destinados a ficar sozinho e muitas vezes exigem a aprendizagem contínua para manter a certificação.

Dependendo do seu foco, você poderia obter do sistema ou rede específica certificações. Algumas certificações são vendor-neutral (principalmente o GIAC


certificações), mas a maioria deles estão diretamente relacionados a um fabricante. Escolher um família certificação pode depender do que você gosta, ou poderia ser o que atinge o maior número de contratos adjudicados. As razões para a escolha são variados.

Cisco Enquanto Cisco Systems possui faixas de rede múltiplos de certificação, um com a maior interesse e recurso no prazo de Segurança da Informação é a faixa de segurança de rede. Há três certificações dentro desta música: Cisco Certified Network Associate (CCNA) Security, Cisco Certified Security Professional (CCSP) e Cisco Certified Internetwork Expert Segurança (CCIE). Enquanto essas certificações envolve hands-on experiência com aparelhos de rede da Cisco, o conhecimento obtido ao mesmo tempo adquirir as certificações Cisco irá traduzir bem em testes de penetração em um geral, a definição de fornecedor neutro.

CCNA Security A certificação CCNA Security exige que o requerente já tem um válido Certificação CCNA. O requerente pode, então, fazer um exame adicional atualmente intitulado 640-553 IINS (que está para Implementing Cisco IOS Network Security) para obter a designação de Segurança CCNA. O exame IINS abrange os seguintes tópicos adicionais (Cisco Systems, Inc., 2009b): ■

Descrever as ameaças à segurança das infra-estruturas de rede moderna

■

Secure roteadores Cisco

■

Implementar AAA em roteadores Cisco utilizando banco de dados local e roteador externo ACS Reduzir as ameaças aos roteadores Cisco e redes usando ACLs

■ ■

Implementar a gestão de rede segura e relatórios

■

Mitigar comum Layer 2 ataques

■

Implementar o Cisco IOS recurso de firewall definida usando SDM

■

Implementar o IPS Cisco IOS conjunto de recursos usando SDM

■

Implementar site-to-site VPNs em roteadores Cisco utilizando SDM

CCSP Esta certificação listas a certificação CCNA Security como pré-requisito e requer o requerente ter um adicional de quatro testes antes de ser concedido. Os testes são (Cisco Systems, Inc., 2009a) ■

Segurança de Redes com roteadores e switches Cisco

■

Protegendo Redes com Adaptive Security Appliance (ASA) da Fundação

Certificações 67

■

Implementing Cisco Intrusion Prevention System

■

E uma das seguintes opções: 1. Implementing Cisco Network Admission Control (NAC) Appliance 2. Implementação de Monitoramento de Segurança Cisco, Análise e Sistema de Resposta 3. Redes com ASA Advanced

Após a conclusão desses exames, o titular do CCSP deve ser capaz de forma segura infra-estruturas de rede. Para testes de penetração, sabendo disponíveis as funções de segurança e ser capaz de manipular os dispositivos de rede que segurança estão faltando são extremamente benéfico para aqueles projetos que requerem a entrada de em uma rede alvo. Eu tenho que admitir que a obtenção de uma CCSP com qualquer penetração testes de habilidades é uma tarefa muito difícil, mas encontrar uma para trabalhar no projeto pentest seria extremamente útil.

CCIE Security Honestamente, eu nunca vi um CCIE trabalhando em um projeto teste de penetração. Por não significa que estou dando a entender que ter um CCIE em um pentest projeto é um exagero ou ineficaz -é simplesmente que o CCIE tem problemas muito maiores para lidar com e recebe pago muito mais dinheiro do que o que um engenheiro pentest típico veria. Seria ser fantástico para ter acesso a um CCIE como um perito no assunto que você pode usar em ocasião, que pode ser possível em grandes organizações que têm uma permanente equipe de teste de penetração. Caso contrário, você pode só precisa ser feliz com um CCNA, CCNP ou CCSP (se você estiver realmente com sorte). Independentemente da dificuldade, ainda é útil para compreender quais áreas o especialista CCIE Security é conhecedor de modo que você pode direcionar todo o orçamento de treinamento para expandir as habilidades da equipe pentest (Tabela 3.2) (Cisco Systems, Inc.). Esta lista é uma referência excelente para qualquer pessoa interessada em aprender a realizar testes de penetração. Ao compreender os temas anteriores em profundidade (não necessariamente como em profundidade como um CCIE), o engenheiro pentest terá um sólido compreensão da maioria das redes que encontram e, certamente, terá suficiente conhecimento para expandir rapidamente seu conhecimento, se encontrar um desconhecido arquitetura de rede ou protocolo.

GIAC Se você decidir prosseguir qualquer uma das certificações GIAC, os melhores adequado para engenheiros de testes de penetração envolve a pista de Administrador de Segurança, que começa com a GISF, e é seguido com o GSEC. Depois de ter os certificações, você pode se especializar em campos diferentes ISS, incluindo o campo de testes de penetração. Para PMs, o GIAC Certified Project Manager Certification (GCPM) é um de certificação que deve ser de particular interesse e pode ser seguido por o GSLC mencionado anteriormente. Isso não significa que o técnico outros certificações são inadequadas para os gestores -certamente se beneficiaria de qualquer


Tabela 3.2 Tópicos CCIE Security Área tópico

Tópicos específicos

Rede geral

Conceitos Básicos de Redes Camadas OSI Protocolos TCP / IP Comutação (VTP, VLANs, Spanning Tree, Trunking, etc) Protocolos de Roteamento (RIP, EIGRP, OSPF e BGP) Multicast

Protocolos de segurança, Cifras, RADIUS e AlgorithmsTACACS Hash + Cifras RSA, DSS, RC4 Message Digest 5 (MD5) Hash Algorithm (SHA) EAP PEAP TKIP TLS Data Encryption Standard (DES) Triple DES (3DES) Advanced Encryption Standard (AES) Segurança IP (IPSec) Cabeçalho de autenticação (AH) Encapsular Security Payload (ESP) Internet Key Exchange (IKE) Registro de certificado Protocol (CEP) Transport Layer Security (TLS) Socket Layer (SSL) Point to Point Protocol (PPTP) Layer 2 Tunneling Protocol (L2TP) Generic Route Encapsulation (GRE) Shell (SSH) Pretty Good Privacy (PGP)

Protocolos de aplicação

Hypertext Transfer Protocol (HTTP) Simple Mail Transfer Protocol (SMTP) File Transfer Protocol (FTP) Domain Name System (DNS) Trivial File Transfer Protocol (TFTP) Network Time Protocol (NTP) Lightweight Directory Access Protocol (LDAP) Syslog

Security Technologies

Packet Filtering Filtragem de Conteúdo URL Filtering

Certificações 69

Tabela 3.2 CCIE Security Tópicos-continuação Área tópico

Tópicos específicos Tecnologias de autenticação Tecnologias de autorização Autenticação de Proxy Public Key Infrastructure (PKI) IPSec VPN SSL VPN Network Intrusion Prevention Systems Host Intrusion Prevention Systems Correlação de Eventos Adaptive Threat Defense (ATD) Network Admission Control (NAC) 802.1x Endpoint Security Network Address Translation

Cisco Security Appliances e Aplicações

Cisco Secure PIX Firewall Cisco Intrusion Prevention System (IPS) Cisco VPN 3000 Series Concentradores Cisco Software EzVPN e clientes Hardware Cisco Adaptive Security Appliance (ASA) Firewall Cisco Security Monitoring, Análise e Resposta (MARS) Cisco IOS Firewall Cisco IOS Intrusion Prevention System Cisco IOS IPSec VPN Cisco IOS Confiança e Identidade Cisco Secure ACS para Windows Cisco Secure Solution Engine ACS Anomalia Cisco Detectores de Tráfego Cisco Guard DDoS Mitigação Appliance Cisco Catalyst 6500 Security Modules Series (FWSM, IDSM, VPNSM, WebVPN, módulos de SSL) Tráfego Cisco Módulo Detector de Anomalias & Cisco Guard Módulo de Serviço

Cisco Security Gestão

Cisco Adaptive Security Device Manager (ASDM) Cisco Router & Security Device Manager (SDM) Cisco Security Manager (CSM)

Cisco Security Geral

Especificidades IOS Roteamento e comutação Características de Segurança: IP & MAC Spoofing, MAC Controles endereço, Port Security, Snoop DHCP, DNS Spoof NetFlow (Continuação)


Tabela 3.2 CCIE Security Tópicos-continuação Área tópico

Soluções de Segurança

Geral de Previdência

Tópicos específicos Layer 2 Características de Segurança Layer 3 Características de Segurança Segurança sem fio IPv6 Segurança Network Attack Mitigação Surtos de vírus e Worms Roubo de informações Ataques DoS / DDoS Web Application Security Server e Web

Políticas -Práticas de Política de Segurança Normas de Segurança da Informação (ISO 17799, ISO 27001, BS7799) Organismos de normalização RFCs comum (por exemplo, RFC1918, RFC2827, RFC2401) BCP 38 Ataques, vulnerabilidades e exploits comuns -de reconhecimento, verificação, priv escalada, a penetração, limpeza backdoor, Security Audit & Validation Avaliação de Risco Processo de Gestão da Mudança Quadro de Resposta a Incidentes Segurança Computação Forense

gerente também aprofundar as certificações técnicas, porque isso permitiria -los a entender melhor o esforço necessário em cada etapa de um projeto.

GISF Uma das vantagens do GIAC é a sua capacidade de oferecer cursos e certificações que são muito granular em que eles cobrem, há mais de 20 certificações diferentes oferecidos pelo GIAC, eo GISF é o primeiro de uma série de certificações relacionadas a Administração de Segurança. Tabela 3.3 contém uma lista dos tópicos abordados na GISF exame (GIAC).

GSEC O GSEC foi "Criado para garantir que um indivíduo detém a certificação nível adequado de conhecimento e habilidade necessária para qualquer pessoa com as mãos sobre responsabilidades técnicas nas áreas-chave ou essenciais de segurança da informação. "O GSEC é o próximo da série de certificações Administração de Segurança e segue o GISF. Tabela 3.4 contém uma lista de tópicos relacionados ao exame GSEC (GIAC).

Certificações 71

Tabela 3.3 GISF Tópicos Tópico Áreas GISF ■

Access Control & Hardening

■

Defesa em profundidade (Site De rede)

■

Aplicando OODA Loops

■

Teoria Attack & Layer 3 Ataques

■

■

Auditoria, Segurança Física, Detecção e resposta

■

■ Exploração de Gerenciamento de Dados & Malware ■ Explorando Use Software & Aplicações Web

■

Construção de uma Política de ■ Fundamentos de Hashing & Assinaturas digitais Segurança Gerenciamento de Configuração e Backups ■ Ataques humana

■

■

Algoritmos criptográficos

■

Criptográficos

■

Defesa em profundidade (Applications)

■ ■

■ ■ ■

■

■

Visão geral da segurança Princípios Pessoal de Triagem e Termos de emprego Networking prática Fundamentos

■

Infra-estrutura de Chaves Públicas (PKI)

■

Política Perímetro Real World Avaliação

■

Implementação e avaliação Política de Segurança

■

Risco e vulnerabilidade Gestão

■

Implementando a segurança Princípios

■

Conscientização de segurança

■

Segurança na empresa

■

Perspectivas de segurança

■

Processo de segurança e incidentes Detecção e resposta

■

Processo de segurança e risco Análise

■

Noções básicas de segurança Conceitos

■

Tecnologia sem fio Visão global

Defesa em profundidade (Border)■ Garantia da Informação Pilares e Enablers Defesa em profundidade (Informática) ■ Introdução à Rede Comunicações Defesa em profundidade (DMZ) Defesa em profundidade (Firewalls)Introdução à Segurança Política Defesa em profundidade (Incident ■ Manipulação) Network Management & Projeto Defesa em profundidade (Medição Progresso) ■ OSI Camada de Rede ■

Depois de completar ambas as GISF e as certificações GSEC, há bastante um pouco mais avançados certificações relacionadas à Administração de Segurança, que são listados abaixo. Há um par gostaria de chamar a atenção para, principalmente porque se relacionam diretamente com o tema deste livro -penetração profissional testes. Especificamente, eu gostaria de mencionar o GIAC Penetração Aplicação Web Tester (GWAPT) eo GIAC Certified Tester Penetração (GPEN) certificações. Eu não vai discutir todas as certificações diferentes listados abaixo, mas eu quero discutir o GWAPT eo GPEN em maior detalhe. Tenha em mente que, dependendo do seu objetivos pessoais, qualquer uma das certificações pode ser benéfica para sua carreira. ■

GIAC Web Tester Penetração Application (GWAPT)

■

GIAC Certified Enterprise Defender (GCED)

■

GIAC Certified Firewall Analyst (GCFW)


Tabela 3.4 Tópicos GSEC GSEC Áreas Tópico 802,11

■

Mitnick-Shimomura

■

Acesso Teoria de Controle

■

Endereçamento de rede

■

Mapeamento de rede alternativo Design de rede Técnicas ■ Hardware de rede

■

■

■

■

Abordagem de melhores práticas■ Mapping Tools rede para ■ Canalizações de rede Gestão de Risco Bluetooth ■ Protocolo de Rede

■

Tipos comuns de ataques

■

Digitalização em rede

■

Planos de Contingência

■

Resumo NIDS

■

Ataques Crypto

■

NIPS Visão

■

Conceitos de criptografia

■

Gerenciamento de senhas

■

Fundamentos Crypto

■

Segurança física

■

■

UNIX Registro e Monitoração

■

UNIX OS Security

■

Senha do sistema Unix e Acesso Root

■

Unix Patch Management e Manutenção

■

Processos Unix e Minimizando Serviços do Sistema

■

Ferramentas de segurança Unix Máquinas Virtuais

■ ■

Virtual Private Networks VPNs

■

Vírus e códigos maliciosos

■

Funcionalidade VoIP e Arquitetura

■

Vulnerability Management Visão global

De defesa em profundidade

■

Policy Framework

■

DNS

■

Pretty Good Privacy (PGP)

■

Firewall Subversion

■

Public Key Infrastructure (PKI)

■

Firewalls

■

Pacotes de leitura

■

Tipos gerais de Criptográficos

■

Real-World Crypto Implementações

■

Tipos gerais de Stego

■

■

Exemplos HIDS

■

Fundamentos de roteamento

■

Estado Web

■

Resumo HIDS

■

Ameaças de segurança

■

■

Resumo HIPS

■

Snort como um NIDS

Windows Active Directory e Diretiva de Grupo

■

Honeypots

■

Resumo esteganografia

■

■

ICMP

■

Windows Automação e Auditoria

■

IDS Visão

Simétricas e assimétricas Criptográficos

■

Windows Backup & Restore

Tratamento de Incidentes Fundamentos

■

TCP

■

Windows Família de Produtos

■

Conceitos TCP

■

Windows IIS Segurança

■

Exemplos Warfare informações

■

tcpdump / windump

■

■

Windows Security Network Visão global

■

Patches janelas e Hotfixes

■

Teoria de Guerra de Informação ■ Avaliação da Ameaça, Análise & Report à Gestão Introdução à OPSEC ■ Traceroute Os pacotes IP

■

■

UDP

Permissões e Windows Direitos do Usuário

■

Segurança do Windows Modelos e da Diretiva de Grupo

■

■

■ Vulnerabilidade de digitalização Visão geral do gerenciamento de■ risco Web Application Security

Exemplos IPS

■

■

Resumo IPS

■

Backups UNIX e Arquivamento

■

IPv6

■

■

Aspectos legais do incidente Manipulação

UNIX linha de comando e OS Tools

■

UNIX Cron e Segurança Escalonamento de Processos

Windows Workgroups & Contas

■

Visão sem fio

■

Segurança sem fio

■

Mitnick Ataque Defensivo Estratégias

■

■

Paisagem UNIX

Certificações 73

■

GIAC Certified Intrusion Analyst (GCIA)

■

GIAC Certified Incident Handler (GCIH)

■

GIAC Certified Security Administrator Windows (GCWN)

■

GIAC Certified Security Administrator UNIX (GCUX)

■

GIAC Certified Forensics Analyst (GCFA)

■

GIAC Protegendo Oracle Certification (GSOC)

■

GIAC Certified Tester Penetração (GPEN)

GWAPT Como você pode ver na lista de tópicos relacionados à GWAPT listados abaixo em Tabela 3.5, esta certificação foca estritamente em aplicações web. Embora não haja algumas análises do servidor Web em si, isto é apenas para que a tester penetração pode melhor ataque as aplicações Web-se.

GPEN Obter esta certificação beneficiaria todos os interessados na realização de Web testes de aplicativos de penetração, bem como qualquer pessoa interessada em testes de penetração em geral. A certificação exige GPEN o titular de compreender muitas das ferramentas e técnicas necessárias para realizar um teste de penetração contra sistemas, redes e aplicativos, como visto na Tabela 3.6 (GIAC).

Tabela 3.5 Tópicos GWAPT Áreas Tópico GWAPT (GIAC) ■

Advanced injeção de script

■

AJAX

■

Traçando Flow Application Sessão de Análise e

■

Autenticação

■

Bypass Ataques

■

CAL9000 Testing Quadro

■

Determinar Software Configuração

■

SQL Injection Attack Exploração

■

Tipos de exploração

■

SSL

■

Ataques externos Entidade

■

■

Informações de fontes externas

Detecção do sistema e Identificação

■

Vazamento de Informações e Colheita nome de usuário

■

Seleção alvo

■

O processo de ataque

■

Cartografia

■

A Fase Discovery

■

O protocolo HTTP

■

Web Site Server Architecture

■ ■

Injeção de comando e Directory Traversal

■

Problemas comuns de aplicação

■

CSRF Attack Discovery

■

CSRF Attack Exploração

Tipos de teste de penetração

■

Pen-teste fases

■

Profiling servidor

■

Sniffing

■

XSS Attack Discovery

■

SQL Injection Attack Descoberta

■

Exploração XSS Attack Estado da sessão


Tabela 3.6 Tópicos GPEN Tópico Áreas GPEN ■

Caim

■

Não Metasploit Exploits

■

Port Scanning

■

Injeção de comando

■

Obter os hashes de senha

■

Tabelas do arco-íris

■

Command Shell vs Terminal Acesso

■

Detecção de OS e versão

■

■

Paros

Reconhecimento Fundações

■

Usando o reconhecimento WHOIS e DNS

■

Relatando os resultados

■

Executando o Windows Comandos remotamente

■

Fundamentos de varredura

■

SQL Injection

■

Vulnerabilidade de digitalização

■

Cross Site Request Forgery

■

Pass-the-Hash Ataques

■

Cross Site Scripting

■

■

Usuários enumerando

Ataque senha Fundamentos

■

Fundamentos da exploração

■

Formatos de senha

■

Encontrando vulnerabilidades com ■ Adivinhar com senha Os motores de busca THC-Hydra

■

John the Ripper

■

Pen-teste Fundações

■

Questões Legais

■

■

Metasploit

Pen-teste Metodologias e Infra-estrutura

■

Movendo arquivos com Exploits

■

Pen-teste Process

■

Web-based Reconnaissance

■

Rede de varrição e Traçado

■

Pen-teste através do Windows Linha de comando

■

Wireless Client e Crypto Ataques

■

Nikto

■

Pen-teste com Netcat

■

Fundamentos sem fio

Como mencionado anteriormente, os tópicos dentro de cada certificação fornece boa orientação sobre o que o conhecimento é esperado dentro da indústria para qualquer particular habilidade. Para testes de penetração, que combina na lista de tópicos de ambos GWAPT eo GPEN forneceria uma lista sólida para trabalhar fora de melhorar a sua pentest habilidades. Naturalmente, todos os tópicos GSEC deve ser conhecido, bem como, e em profundidade.

CheckPoint Existem várias certificações oferecidas pela CheckPoint, mas muitos deles são desenhado em torno da linha de produtos da CheckPoint. Isto em si não é uma coisa ruim, especialmente se as redes de seu alvo muitas vezes incluem qualquer das ofertas da CheckPoint. Há um curso em particular, que é independente de fornecedor e se concentra em informações fundamentos de segurança e melhores práticas. Check Point Certified Security Princípios Associate (CCSPA) (CheckPoint Software Technologies, Ltd.) ■

Discutir a Segurança da Informação Tríade

■

Explicar as relações entre os modelos de outras informações de segurança e os Segurança da Informação Tríade

■

Discutir os oito princípios de design seguro

Certificações 75

■

Explique o ciclo de vida de segurança

■

Determinar quais recursos de informação são considerados ativos

■

Identificar possíveis ameaças e vulnerabilidades para os ativos de informação

■

Avaliar fórmulas para determinar os valores dos ativos e perdas para uma organização

■ ■

Investigar as estratégias de mitigação de risco para as organizações Estabelecer contramedidas adequadas e salvaguardas para implantar, e que riscos devem ser mitigados por eles

■

Identificar e distinguir entre os tipos de políticas de segurança

■

Discutem a aplicação da política de segurança, com base no tipo de política Explicar os conceitos e ações associadas com a segurança a administração políticas

■

■ ■ ■ ■

Discutir como desenvolver um plano de continuidade de negócios Explicar os métodos para testar um plano de continuidade de negócios Discutir o ciclo de vida de um plano de continuidade de negócios Explicar cenários comuns e incomuns, onde um plano de continuidade de negócios é invocado

■

Definir de Segurança Operacional e rever a sua história

■

Identificar as Leis de OPSEC

■

Identificar as motivações adversários e técnicas de coleta de inteligência

■

Determinar os controles de segurança física e administrativas relativas aos OPSEC

■

Discutir as características de confidencialidade e integridade de controle de acesso modelos

■

Identificar os tipos de controles de acesso e categorizá-los adequadamente

■

Explicar os métodos para o gerenciamento de controles de acesso Identificação e autenticação de revisão no contexto do controle de acesso

■ ■ ■ ■

■ ■

Discutir a necessidade de treinamento de segurança Identificar os mecanismos de treinamento em segurança entregar Explicar como comunicar eficazmente as necessidades de segurança para unidade de negócios proprietários, gerência e executivos Discutir a segurança teoria arquitetura Explicar a arquitetura do sistema de segurança


■

Descrever a arquitetura de rede segura

■

Definir uma intrusão

■

Definir um ataque

■

Rever os conceitos de Detecção de Intrusão

■

Determinar os tipos de Sistemas de Detecção de Intrusão

■

Rever uma breve história da criptografia

■

Averiguar de forma geral como criptografia funciona

■

Investigar os algoritmos de criptografia atual

■

Determinar as técnicas de revestimento eficazes base

■

Avaliar os benefícios do teste de penetração

■

Identificar as principais categorias de métodos de autenticação

■

Discutir as características de métodos de controle de acesso comum

■

Comparar e contrastar as tecnologias de controle de acesso

■

Rever os componentes administrativos de soluções de controle de acesso

■

Determine as questões de segurança e soluções para usuários ROBO

■

Identificar problemas com a segurança do usuário remoto Determine as questões de segurança e soluções para usuários de pequenas empresas Identificar problemas com a segurança de usuários domésticos Definir o propósito de uma intranet

■ ■ ■ ■

Definir o propósito de uma extranet

■

Determinar como uma Corporação Virtual opera

■

Determine usos apropriados para: Modelos de segurança Controles Administrativos Segurança física e OPSEC Planejamento de Continuidade de Negócios Salvaguardas e Contramedidas

■

Avaliar as necessidades para as tecnologias de criptografia da empresa Analisar as possibilidades de gestão empresarial de usuário e controles de acesso

■

Como mencionado, existem certificações adicionais disponíveis através da Check Point. Porque as outras certificações são muito específicas do produto, só vou enumerá-los aqui.

Certificações 77

Sinta-se livre para examiná-los com mais detalhes para vocês se o seu time precisa incluir este tipo de conjunto de habilidades: ■

Check Point Certified Security Administrator (CCSA)

■

Check Point Certified Security Expert (CCSE)

■

Check Point Certified Security Expert Plus (CCSE Plus)

■

Check Point Certified Managed Security Expert (CCMSE)

■

Check Point Certified Expert Plus Managed Security VSX (CCMSE Plus VSX)

■

Check Point Certified Master Architect (CCMA)

Juniper Networks Outro jogador importante na rede é Juniper Networks, que tem suas próprias linha de certificação. Um com o maior interesse e recurso no prazo de informações segurança é, provavelmente, a faixa de roteamento Enterprise. Faixas adicionais incluem Serviços Avançados, Switching Enterprise, e Firewall / rede privada virtual (VPN), porém, é a faixa que se estende Enterprise Routing todos os níveis de especialização. Há três certificações dentro desta música: Juniper Networks Certified Internet Associado (JNCIA-ER), Juniper Networks Certified Specialist Internet (JNCIS-ER), e Juniper Networks Certified Expert Internet (JNCIE-ER). Embora estes certificações envolvem hands-on experiência com aparelhos Juniper rede, o conhecimento obtido ao adquirir as certificações Juniper irá traduzir bem em testes de penetração em geral, a definição de fornecedor neutro.

JNCIA-ER (Juniper redes) A certificação JNCIA-ER é a certificação de introdução dentro da Juniper Enterprise Routing faixa. Quando comparado com o CCNA Cisco certificação, este certificação abrange muitos dos mesmos conceitos e projetos de arquitetura -somente adaptados para a linha de produtos Juniper. ■

Visão geral da empresa Router, Gestão e Arquitetura

■

Interface do usuário de roteadores corporativos

■

Instalação e configuração inicial

■

Monitorar e manter série J-plataformas

■

Protocolos de Roteamento

■

Serviços: A lista de interfaces disponíveis utilizados para serviços e descrever os benefícios e características para cada tipo de Descrever a finalidade e os benefícios da MLPPP Identificar a configuração MLPPP e opções de monitoramento


Descrever a finalidade e os benefícios de NAT e PAT Identificar NAT e PAT de configuração e opções de monitoramento ■

Variados: Descrever os benefícios e funcionamento básico do VRRP Identificar opções de configuração e monitoramento de VRRP Descrever os benefícios e operação básica do DHCP Identificar opções de configuração e monitoramento de DHCP

Como mencionado, existem duas certificações mais que beneficiaria ninguém a realização de um teste de penetração: a JNCIS-ER e JNCIE-ER. No entanto, Juniper não tem uma especialização de segurança semelhante ao Cisco. Há alguns Juniper Certificações JNCIA que lidam com questões de segurança, como VPN, Secure Sockets Layer (SSL), e de detecção de intrusão, o que beneficiaria pentest engenheiros, mas nada de segurança visando a um mais amplo ou mais nível fornecedor neutro.

Microsoft Microsoft oferece uma série de certificações diferentes que podem complementar um pentest engenheiro; no entanto, a uma melhor alinhado com o teste de penetração é o Microsoft Certified Engenheiro de Sistemas (MCSE): certificação de segurança. A última versão desta certificação é o "MCSE: De segurança no Windows Server 2003 ", que requer o seguinte: ■

Quatro exames básicos de sistemas de rede

■

Um exame do núcleo de sistema operacional cliente

■

Um exame de projeto de segurança ("Projetando Segurança para o Windows Server 2003 Rede "é a única opção)

■

Dois exames de especialização de segurança da seguinte lista: Implementação e administração de segurança em um servidor Windows 2003 Network Implementando o Microsoft Internet Security and Acceleration Server (ISA) 2004 TS: Microsoft Internet Security and Acceleration (ISA) Server 2006, Configuring Obter a certificação CompTIA Security +

O seguinte é uma lista de design de segurança diferentes e exames de especialização e os objectivos mensuráveis a cada um. Novamente, você pode usar esses objetivos avaliar o seu próprio nível de compreensão da segurança da informação, especialmente com Microsoft Windows produtos:

Projetando Segurança para uma Rede Windows Server 2003 ■

Criação do Projeto Conceitual para a Segurança Infra-estrutura de rede por Coleta e análise de requisitos técnicos e comerciais Analisar os requisitos de negócios para a concepção de segurança. Considerações incluem políticas e procedimentos existentes, a sensibilidade dos dados, custo, requisitos legais, usuário final de impacto, interoperabilidade, facilidade de manutenção, escalabilidade e risco.

Certificações 79

Design de um quadro para a concepção e implementação de segurança. O frametrabalho deve incluir a prevenção, detecção, isolamento e recuperação. Analisar limitações técnicas na elaboração de segurança. ■

■

■

■

Criando o desenho lógico para Segurança de Rede Infra-estrutura Design uma infra-estrutura de chave pública (PKI) que usa os Serviços de certificados. Projetar uma estratégia de autenticação lógica. Design de segurança para gerenciamento de rede. Design uma infra-estrutura atualização de segurança. Criando o Projeto Físico da Rede de Segurança Infra-estrutura Projeto de segurança de infra-estrutura de rede. Design de segurança para redes sem fio. Design de autenticação de usuário para o Internet Information Services (IIS). Design de segurança para o Internet Information Services (IIS). Design de segurança para a comunicação entre redes. Design de segurança para comunicação com organizações externas. Design de segurança para servidores que têm funções específicas. As funções incluem domínio controlador, a rede de infra-estrutura de servidor, servidor de arquivos, servidor IIS, terminal servidor, e servidor de correio POP3. Desenho uma Estratégia de Controle de Acesso de Dados Projetar um estratégia de controle de acesso para serviços de Projetar um diretório. Projetar um estratégia de controle de acesso para arquivos e pastas. estratégia de controle de acesso para o registro. Criando o desenho físico para a Segurança Infra-estrutura do cliente Projetar uma estratégia de autenticação do cliente. Projetar uma estratégia de segurança para acesso de clientes remotos. Projetar uma estratégia para proteger computadores cliente. Considerações incluem desktop e computadores portáteis.

Implementação e administração de segurança em um Microsoft Windows Network Server 2003 ■

Implementando, gerenciando e solucionando problemas Políticas de Segurança Plano de modelos de segurança com base na função de computador. Papéis computador incluem SQL Computador servidor, computador com Microsoft Exchange Server, controlador de domínio, Informação Internet Authentication Service servidor (IAS), Internet e Serviços de servidor (IIS). Configurar os modelos de segurança. Implantar modelos de segurança. Solucionar problemas de modelo de segurança. Configurar a segurança adicional com base em funções de computador. Computador funções de servidor incluem computador SQL Server, Exchange Server computador, controlador de domínio Internet Authentication Service servidor (IAS), eo Internet Information Services (IIS) do servidor. Papéis computador cliente incluem desktop, portáteis, quiosque e.


■

Implementando, gerenciando e Solução de Problemas Gerenciamento de patches Infra-estrutura Planejar a implantação de service packs e hotfixes. Avaliar o estado atual de service packs e hotfixes. Ferramentas incluem Microsoft Baseline Security Analyzer (MBSA) eo MBSA ferramenta de linha de comando. Distribuir service packs e hotfixes.

■

Implementando, gerenciando e solução de problemas de segurança para rede Comunicações Plano de implementação do IPSec. Configurar políticas IPSec para proteger a comunicação entre redes e hosts. Hosts incluem controladores de domínio, servidores Web Internet, bancos de dados servidores de correio electrónico, e os computadores cliente. Implantar e gerenciar políticas IPSec. Solucionar IPSec. Planejar e implementar segurança para redes sem fio. Implantar, gerenciar e configurar certificados SSL, incluindo usos para HTTPS, LDAPS, e redes wireless. Considerações incluem certificados de renovação e obtenção de auto-emitidos certificados em vez de certificados de emissão pública. Configurar a segurança para usuários de acesso remoto.

■

Planejamento, Configuração e Solução de Problemas de Autenticação, Autorização, e PKI Planejar e configurar a autenticação. Estrutura do grupo plano. Planejar e configurar autorização. Instalar, gerenciar e configurar os Serviços de certificados.

Implementando o Microsoft Internet Security and Acceleration (ISA) Server 2004 ■

Planejamento e Instalação do ISA Server 2004 Um plano de implantação do ISA Server 2004. Avaliar e configurar o sistema operacional, hardware e serviços de rede. Implantar o ISA Server 2004.

■

Instalando e Configurando Computadores Cliente Instale o software cliente de firewall. Configurar computadores cliente para o ISA Server 2004. Tipos de computadores cliente incluem Web Proxy, Firewall Client, e SecureNAT. Configurar uma tabela de domínio local (LDT). Configurar o ISA Server 2004 para a configuração automática do cliente usando Web Proxy Automatic Discovery (WPAD). Diagnosticar e resolver problemas de conectividade do cliente computador.

■

Configurando e Gerenciando o ISA Server 2004 Configure a política do sistema. Backup e restaurar o ISA Server 2004.

Certificações 81

Definir funções administrativas. Definir as configurações de firewall. Configurar o ISA Server 2004 para o Network Load Balancing. Configurar o ISA Server 2004 para apoiar uma topologia de rede. ■

Configurando o Cache Web Configure frente e verso cache. Otimizar o desempenho do cache do ISA Server 2004. Diagnosticar e resolver problemas de cache.

■

Configurando a Diretiva de Firewall Plano de uma política de firewall. Criar elementos de política, regras de acesso, e limites de conexão. Elementos de política incluem a programação, protocolos, grupos de usuários e objetos de rede. Criar regras de política para publicação na Web. Criar regras de política para a publicação de servidor de correio. Criar regras para a política de publicação do servidor.

■

Configuração e Gerenciamento de conectividade de rede remota Configurar o ISA Server 2004 para o site-to-site VPNs. Configurar o ISA Server 2004 como um servidor remoto de acesso VPN. Diagnosticar e resolver problemas de conectividade VPN.

■

Monitoramento e relatórios do ISA Server 2004 Atividade Monitor do ISA Server 2004 atividade. Configurar e executar relatórios. Configurar o log e alertas.

TS: Microsoft Internet Security and Acceleration Server 2006, Configuring ■

Planejamento e Instalação do ISA Server 2006 Um plano de implantação do ISA Server 2006. Avaliar e configurar o sistema operacional, hardware e serviços de rede. Implantar o ISA Server 2006.

■

Instalando e Configurando Computadores Cliente Instalar e configurar o software cliente de firewall. Configurar computadores cliente para o ISA Server 2006. Tipos de computadores cliente incluem Web Proxy e SecureNAT. Configure o ISA Server para garantir que o tráfego de domínio local permanece no local rede. Configurar o ISA Server 2006 para a configuração automática do cliente usando Web Proxy Automatic Discovery (WPAD). Diagnosticar e resolver problemas de conectividade do cliente computador.

■

Configurando e Gerenciando o ISA Server 2006 Configure a política do sistema. Backup e restaurar o ISA Server 2006.


Definir funções administrativas. Definir as configurações de firewall. Configurar o ISA Server 2006 para o Network Load Balancing. Configurar o ISA Server 2006 para apoiar uma topologia de rede. Monitor do ISA Server 2006 atividade. Configurar e executar relatórios. Configurar o log e alertas. ■

Configurando o Cache Web Configure frente e verso cache. Otimizar o desempenho do cache do ISA Server 2006. Diagnosticar e resolver problemas de cache.

■

Configurando a Diretiva de Firewall Plano de uma política de firewall. Criar elementos de políticas e regras de acesso. Elementos de política incluem a programação, protocolos, grupos de usuários e objetos de rede. Criar regras de política para publicação na Web. Criar regras de política para a publicação de servidor de correio. Criar regras para a política de publicação do servidor.

■

Configuração e Gerenciamento de conectividade de rede remota Configurar o ISA Server 2006 para o site-to-site VPNs. Configurar o ISA Server 2006 como um servidor remoto de acesso VPN. Diagnosticar e resolver problemas de conectividade VPN.

Sun Microsystems Antes de eu começar a falar sobre as certificações pendentes e treinamentos oferecidos pela Sun Microsystems, eu tenho que adicionar um disclaimer dizendo que eu sou extremamente tendencioso em favor do Solaris e têm múltiplas certificações a partir deles. Isso é porque eu "Cut meus dentes "na Solaris SunOS 4 há muitos anos, e passou muito tempo sentado em frente de uma caixa de Solaris durante a minha carreira. . . por isso estou muito parcial a este tipo de sistemas de computação. No entanto, este preconceito e parcialidade não deve balançá-lo para tomar minha palavra sobre as vantagens de certificações Solaris; vamos dar uma olhada no ofertas de certificação associados com a Sun Microsystems. Existem várias certificações, inclusive aquelas relacionadas à programação Java. No entanto, um dos mais interesse para o tema deste livro é o SCSECA, que tem a tópicos do exame seguinte:

SCSECA ■

Princípios Gerais de Segurança e Recursos Descrever os princípios básicos de segurança, incluindo a necessidade de uma política de segurança, educação processo, ea necessidade de patch de auditoria e segurança configure sistemas.

Certificações 83

Descrever o objetivo, os recursos e funções do Solaris 10 segurança recursos, pois eles se relacionam com Política de dispositivo Aplicativos ativados para Kerberos, LDAP e melhorias operacionalidade Inter Gestão de Direitos de processo Solaris Containers User Rights Management Descrever o objetivo, os recursos e funções do Solaris 10 segurança recursos, pois eles se relacionam com Força da senha, verificação de sintaxe, História e Melhorias Envelhecimento Auditoria Básica e ferramenta de relatórios para a integridade dos arquivos IPfilter Stateful Packet Filtering Firewall Solaris Secure Shell IPsec / IKE Melhorias de desempenho Descrever o objetivo, os recursos e funções do Solaris 10 segurança recursos, pois eles se relacionam com Da auditoria do Solaris Trusted Extensions Melhorias PAM Criptografia e Funções Message Digest Construído no sistema operacional Solaris

■

Instalação Segura dos Sistemas Descrever a minimização, incluindo o mínimo de instalação do software de instalação clusters, minimização flexível versus estrita e fornecimento consistente, conhecida configuração para instalações. Gerenciar patches, incluindo descrição do Update Manager, descrevendo assinado patches, verificação de assinaturas, e especificando um Web Proxy. Executar endurecimento, incluindo implementação do Solaris Security Toolkit (SST).

■

Princípios de privilégios mínimos Implementar o Gerenciamento de Direitos Process incluindo descrevendo PRM processo, privilégios, privilégios determinação dos direitos exigidos pelo processo, profiling usados por processos e atribuição de direitos mínimos a um processo. Implementar o Gerenciamento de Direitos do Usuário incluindo uso de Controle de Acesso, uso RBAC, e força da senha implementação, verificação de sintaxe e história e envelhecimento melhorias.

■

Recursos de Criptografia Utilizar a estrutura criptográfica do Solaris, incluindo descrição do Solaris Estrutura de Criptografia, utilizando as ferramentas básicas de administração para o Solaris, usando o SCF nível de usuário Comandos, descrevendo Management Framework, e usando Solaris Cryptographic Framework com um servidor Web, com um Aplicação baseada em Java, e com um Sun Crypto Accelerator. Gerenciar a segurança do sistema de arquivos, incluindo o uso de objetos ELF assinado, impleexecução BART para a integridade do arquivo, e usando o Fingerprint do Solaris Banco de dados.


■

Segurança de aplicativos e de rede Use o Service Management Facility (SMF), incluindo descrição do uso do SMF, descrevendo o conceito de privilégios mínimos e SMF, descrevendo Autorizações, descrevendo Privilégios Service Limit, determinando uma corrente privilégios de serviço, e configuração de um serviço para reduzir privilégios. Redes seguras incluindo o uso de Controle de Acesso, usando TCP Wrappers, implementação do IPfilter Firewall Stateful Packet Filtering, descrevendo Kerberos, implementação Solaris Secure Shell (SSH), e descrevendo NFSv4. Implementar IPsec, incluindo descrição do IPsec, configuração do IPsec, configuração IKE, e configurações de resolução de problemas IPsec. Descrever, implementar, configurar e solucionar problemas de configurações Kerberos, incluindo clientes Kerberos, KDCs e serviços Kerberized tais como Secure Shell e NFSv4.

■

Auditoria e Segurança da Zona Realizar auditoria e log, incluindo descrição de Auditoria Solaris, configurando da diretiva de auditoria, a implementação de auditoria do Solaris, configuração para Zonas, revendo logs de auditoria, aprendendo com as trilhas de auditoria e uso de log inviolável. Implementar a segurança em Zonas Solaris, incluindo descrição characterist de segurança ics, identificando diferenças de assuntos anteriores, descrição das Zonas Globais, identificar quando e como usar Zonas, descrição gestão de recursos, identificação de zonas e segurança de rede, e usando Zonas de correção. Descrevem como componentes de segurança trabalham em conjunto, como as tecnologias interagem, e identificar as necessidades de infra-estrutura. Gerir os recursos, incluindo controles de recursos descrever e de recursos prevenção de ataques exaustão.

Outra razão que eu realmente gosto da Sun Microsystems de Segurança certificação é porque há um monte de crossover entre os sistemas Solaris e Linux. Há algumas certificações Linux específicos disponíveis, mas o conhecimento necessário para obter o SCSECA, creio, é comparável a qualquer outra certificação Linux, e certamente mais comercializável (com base em consultas local de trabalho ao longo dos anos). Mas, novamente, não me deixe influenciar suas escolhas de carreira, simplesmente por causa do meu preconceito -ir com o que é melhor para você.

ASSOCIAÇÕES E ORGANIZAÇÕES Apesar de como a mídia retrata, testes de penetração envolve muita interatividade com os outros. A imagem de um hacker que vivem em uma sala escura, sem social contatos com o mundo exterior é falsa. A realidade é que os hackers que conduzem testes de penetração, muitas vezes precisam interagir com outros para trocar idéias e encontrar soluções para os obstáculos. Concedido, a maior parte deste ocorre virtualmente através da Internet, tais como o uso de listas de discussão, mas existem outros métodos para pentest engenheiros e gestores a se reunir e aprender, incluindo organizações profissionais, conferências, e as comunidades locais.

Associações e Organizações 85

Organizações Profissionais Há uma variedade de organizações de segurança da informação que divulgam notícias sobre os acontecimentos dentro da indústria. Alguns são organizações globais que foco nas tendências de grande porte, enquanto outros são menores e se concentrar em um assunto particular, como recuperação de desastres, segurança sistemas de informação, intrusões de rede, e assim por diante. Dependendo do seu foco específico, você pode querer se tornar um membro em um ou mais desses grupos. Estou incluindo uma lista das poucas organizações que tem a conexão mais estreita com a profissão de testes de penetração. Concedido, existem outras organizações que têm uma ligação muito frouxa com PenTesting, mas não o suficiente para ser incluído nesta lista (por exemplo, o Crime de Alta Tecnologia Associação investigação é muito útil para aqueles interessados em ciência forense, mas não não mergulhar em testes de penetração). American Society for Industrial Security (ASIS) -ASIS foi fundada em 1955, e tem mais de 200 capítulos ao redor do mundo. De acordo com seu site, ASIS está focada na eficácia e produtividade dos profissionais de segurança, e oferece programas educacionais e conferências para os seus membros. URL: www.asisonline.org. Institute of Electrical and Electronics Engineers (IEEE) -Esta organização cobre todos os aspectos dos sistemas de informação, e tem uma sociedade especificamente para segurança do computador. Para testadores de penetração profissional, a IEEE Computer Comitê Técnico da sociedade sobre Segurança e Privacidade é provavelmente o mais próximo ajuste. Que patrocinam simpósios múltiplos (conferências) durante todo o ano relacionadas à segurança da informação. URL: www.ieee security.org. ISACA -ISACA também tem capítulos locais em todo o mundo e fornecer conferências, treinamentos e reuniões mensais para os seus membros. A maioria dos informação é projetada para expandir o conhecimento em auditoria membro ISS e gestão, mas um testador de penetração profissional pode se beneficiar muito de este tipo de treinamento e suporte organizacional. URL: www.isaca.org. Information Systems Security Association (ISSA) -O ISSA é uma organização internacional organização para os profissionais de segurança da informação. Esta organização tem capítulos locais em todo o mundo, que muitas vezes oferecem oportunidades educacionais para os seus membros, incluindo conferências, palestras capítulo mensal, e aulas de treinamento. URL: www.issa.org.

Conferências Por onde começar? Há tantas conferências relacionadas com a segurança da informação, que é realmente impossível incluí-los todos, especialmente porque cada novo ano entes aparecer. Vou listar os mais conhecidos aqui, mas entendo que esta lista é apenas um pequeno número de conferências em todo o mundo. Muitas conferências também estão fornecendo oportunidades de treinamento junto com todos os programadas apresentações. A adição de classes de treinamento pode ser uma discriminação os fatores em que os eventos a participar, e que para saltar. No entanto, não assume


que só os melhores conferências oferecem treinamento -DefCon é um dos melhores conferências para assistir, e não há formação em todas as classes (aqueles são reservados de Black Hat, que ocorre uma semana antes). É simplesmente mais fácil convencer gestão para combinar aulas de treinamento com uma conferência de segurança para que viagens custos são limitados a um evento. Outro fator que pode influenciar a conferência que deseja participar envolve ou não você trabalha com uma agência governamental. Há alguns conferências criado especificamente para tratar de questões governamentais, e algumas dessas são apenas por convite. Falando em "Convite apenas, "algumas empresas também têm conferências que limitar quem pode participar. Uma das maiores conferências que ocorrem em o setor comercial é o Microsoft Security Briefings BlueHat. Mas, por enquanto, eu estou salto em frente, vamos dar uma olhada nas conferências mais popular. Aqui está uma lista das conferências mais popular seja associada a um associação, uma universidade, uma empresa, ou algo semelhante. Eu tenho os organizou de acordo para o mês típico em que estão hospedados. No entanto, porque alguns deles ocorrem perto do começo ou o fim de um mês, é possível que o período de tempo listados aqui é fora por um mês. Apresentá-las neste formato irá permitir-lhe melhor plano de sua programação ao longo do ano. Eu tenho notado que as conferências fornecem adicioformação profissional ao longo de todas as apresentações, caso você esteja interessado em combinar custos de sua formação em um único evento. Tenho também incluiu conferências direcionamento do governo, militares e / ou lei agentes de fiscalização nesta lista. Participação nestas conferências é muitas vezes restrito a funcionários do governo, ou aqueles que trabalham com contratos governamentais. Eu sou incluindo estas conferências na lista porque os leitores, sem dúvida, muitos serão deste grupo. Para aqueles que não podem comparecer, confira os sites da Web de qualquer maneira, porque muitas vezes há documentos relacionados com as negociações. AVISO Ter cuidado ao participar de uma conferência, especialmente uma que incide sobre hacking ético ou não. Eu tenho visto as pessoas trazem laptops corporativos para essas conferências. Se você vai a um conferência com hackers por aí, as possibilidades são seu sistema será atacado. Tenho visto muito muitos sistemas infectados nestes eventos que me surpreende quando alguém traz um laptop que poderia ter dados corporativos sobre ele. Eles podem também fazer backups de seus sistemas e passar -los em torno da conferência.

Janeiro DoD Conferência Cyber Crime -O DoD Cyber Crime site Web Conferência descreve a conferência da seguinte forma: "Este conferência centra-se em todos os aspectos da criminalidade informática: investigações de intrusão, cyber crime de direito, forense digital, segurança da informação, bem como a pesquisa, desenvolvermento, teste e avaliação de ferramentas digitais forenses. Este é um Cyber Crime conferência. Esta não é uma conferência de Garantia de Informação "(Departamento de Conferência Defesa Crime Cyber).


A participação é restrita às seguintes pessoas: ■

DoD pessoal

■

DoD patrocinado empreiteiros

■

Base Industrial de Defesa (DIB) Partners (CPAC)

■

Aplicação da lei federal, estadual e local

■

Cidadãos dos EUA ou os representantes norte-patrocinado governo trabalhando em os seguintes campos: Agentes contra-especial Investigadores criminais Forense examinadores computador Ministério Público Informações DoD garantia / administradores de sistemas Informática forense pessoal de investigação e desenvolvimento Aplicação da lei federal, estadual e local Educadores nas áreas acima

Patrocinada pelos EUA representantes do governo da Austrália, Canadá, Estados Unidos Unido, e Nova Zelândia também podem participar. Os seguintes tópicos estão incluídos no âmbito da conferência: ■

Investigações de intrusão

■

Cyber Law Crime

■

Forensics Digital

■

Garantia da Informação

■

Pesquisa e Desenvolvimento

■

Treinamento

URL: www.dodcybercrime.com

Fevereiro Rede e de sistema distribuído Simpósio de Segurança (NDSS) -O NDSS conferência centra-se na solução orientada artigos científicos e técnicos relacionados com a rede e segurança do sistema distribuído. Realizada em San Diego, Califórnia, este evento de três dias tem algumas faixas diferentes ao longo do conferência, mas não inclui aulas de treinamento adicional. URL: www.isoc. org / ISOC / conferências / NDSS / ShmooCon -Realizada na área de Washington DC, este evento de três dias envolve "Demonstrando exploração da tecnologia, software e hardware inventivo soluções e abrir discussões de questões críticas infosec. O primeiro dia é uma única faixa de negociações velocidade, One Track Mind. Os próximos dois dias, há três


tracks:! Break It, Build It, e Bring It On "(ShmooCon) O número de participantes é restrito, e este evento se esgota muito rapidamente. O real deste mês evento é realizado varia entre janeiro e março, por isso é importante para visitar o site Web ShmooCon para saber quando ele vai realmente ser realizada. URL: www.shmoocon.org

Março GOVSEC e U. S. Lei Conferência -Realizada no D.C. Washington área, este conferência pretende "Fornecem insights sobre as mais recentes ferramentas e táticas usadas para garantir a segurança de nossa nação e seu povo. Participantes serão principalmente os profissionais de segurança civil e militar do governo federal governo, a aplicação da lei, bem como e primeiro-respondedores do federal, estadual e local "(GOVSEC Expo). Não há restrições quanto ao que pode assistir, e temas da conferência são discriminadas no seguintes faixas falando: ■ ■ ■

Luta contra o Terrorismo Assegurar infra-estruturas críticas Segurança estratégias e Segurança

URL: www.govsecinfo.com Teoria da Conferência Cryptography (TCC) -De acordo com o site, o TCC "Lida com os paradigmas, abordagens e técnicas usadas para conceituar, definir e fornecer soluções para problemas de criptografia natural "(TCC Manifesto). Em outras palavras, qualquer coisa que você pode pensar relacionadas com a criptografia, se é algoritmos, problemas de comunicação, ou relacionadas com quantum física. Um monte de que se trata de teoria, mas isso não é uma coisa ruim para saber como verificador da penetração profissional. URL: www.wisdom.weizmann.ac.il/ ~ tcc /

Maio ChicagoCon -Realizadas duas vezes por ano, uma vez na primavera e outra vez em queda, ChicagoCon metas profissionais hackers éticos. Há sessões de treinamento, bem como, especificamente voltado para hacking ético. A vantagem que ChicaogoCon tem mais algumas das outras conferências é um site muito ativo associados com a conferência: www.ethicalhacker.net; URL: www.chicagocon.com IEEE Simpósio sobre Segurança e Privacidade -Uma das conferências mais populares é o "IEEE Simpósio sobre Segurança e Privacidade ", realizado em Oakland, Califórnia, em torno de maio de cada ano. A primeira conferência foi realizada em 1980 e centra-se em segurança de computadores e privacidade eletrônica (IEEE Simpósio sobre Segurança e Privacidade). Cursos de formação adicionais estão disponíveis. URL: www.ieee segurança. org / TC / SP-Index.html

Junho Federal Information Security Conference (FISC) -Esta conferência está no meu cidade natal, e eu tenho a sorte de assistir a duas vezes até agora. Realizou mais de


Dois dias, o FISC alvos militares e funcionários do governo, fornecendo um desconto a taxa de inscrição para aqueles indivíduos que atender a essas qualificações. O seguintes tópicos foram apresentados na na Informação (passado Federal Conferência de segurança): ■ ■ ■ ■ ■ ■ ■ ■ ■

DIACAP Gestão de Risco HSPD-12 Teste de Invasão Formação INFORSEC Criptografia DoD 8570,1 IPv6 Cyber Security FISMA

■

A Conferência Internacional sobre Sistemas Confiáveis e Redes (DSN) -Mantido em todo o mundo, a conferência DSN tem tutoriais e workshops sobre o primeiro dia, e realiza sua conferência de três dias com 3 a 4 faixas paralelas relacionados ao desempenho e confiabilidade nos sistemas de informação. Embora mais da conferência não é voltada para temas dentro testes de penetração, não são suficientes para garantir atendimento. URL: www.dsn.org/ Recon -Focada em Engenharia Reversa, Recon é realizada em Montreal, e oferece apenas uma única pista de apresentações sobre a extensão de três dias (o que é awesome, porque dessa forma você não perca nada). Há adicionais oportunidades de engenharia reversa de treinamento disponíveis, que são realizadas três dias antes da apresentação real. Participação na formação é extremamente limitada (cerca de 10 lugares), então se você quiser participar, quanto mais cedo você se inscrever, o melhor. URL: www.recon.cx

Julho Black Hat -Iniciado em 1997, esta conferência é provavelmente um dos mais bemconferências informações conhecidas de segurança disponíveis. Realizada em Las Vegas, este evento é executado antes DefCon (ver lista agosto), e se concentra mais em nível empresarial questões de segurança. Agora chamado de Black Hat EUA, a conferência se expandiu para incluir Black Hat DC em fevereiro (realizada em Washington DC), e Black Hat Europa por volta do mês de abril (realizada em vários países). Eventos de treinamento ocorrem quatro dias antes das conferências real, tornar o evento Black Hat uma produção de uma semana (supondo que você não esperar por DefCon também). Eles também realizou um evento na Ásia, mas não está claro se isso vai ser uma ocorrência regular ou não. URL: www.blackhat.com Computer Security Fundações Simpósio -Criado em 1988 como uma oficina do "IEEE Computer Society Comitê Técnico de Segurança e Privacidade ", esta conferência é organizada anualmente em todo o mundo. Voltado para pesquisadores em ciência da computação, os tópicos incluem uma variedade de questões de segurança,


incluindo o protocolo de segurança e sistema (IEEE Simpósio sobre Segurança e Privacidade). URL: www.ieee-security.org/CSFWweb/ Hackers on Planet Earth (HOPE) -A conferência HOPE é realizada uma vez a cada 2 anos em New York City. Um evento de dois dias no Hotel Pennsylvania, a HOPE conferência ocorre em anos pares e inclui uma série de palestras centradas sobre privacidade pessoal de engenharia, hacking e social. URL: www.hope.net

Agosto DefCon -Sem dúvida, a maior conferência de Segurança da Informação, este evento começou em 1993, e é mantida por três dias em Las Vegas na semana seguinte a conferência Black Hat. Não há eventos treinamento adicional como parte da DefCon, principalmente por causa da estreita ligação com Black Hat, que tem muitos eventos de treinamento essa semana. Atendimento em 2008 foi superior a 8000 participantes, e incluiu cinco faixas falando, não incluindo eventos que breakout tópicos incluídos, tais como hacking wireless, lock picking, e hacking de hardware. Outro grande evento é o Capture the Flag desafio que incluiu equipes de em todo o mundo. DefCon tem uma reputação de ser mais underground, que é provavelmente imprecisa no atual ambiente de segurança, especialmente considerando o número de pessoas que agora frequentam. URL: www.defcon.org Conferência internacional Criptologia -Esta conferência é patrocinada pelo International Association for Research Cryptologic, e realizado em Santa Barbara, Califórnia. Apresentações são feitas sobre os aspectos técnicos da criptologia. Lá também são duas conferências realizadas no exterior adicionais -um na Europa (Eurocrypt) e um na Ásia (Asiacrypt), e são realizadas em diferentes países a cada ano (Geralmente em dezembro e maio para a Europa para a Ásia). URL: www.iacr.org/ conferências / USENIX Simpósio de Segurança -Esta conferência foi iniciada em 1993, e originalmente satisfeitos esporadicamente. Agora, uma conferência anual, a USENIX comuninidade usa o Simpósio de Segurança para abordar os mais recentes avanços na segurança dos sistemas informáticos e redes. Esta conferência tem outros oportunidades de formação, bem como workshops sobre temas de segurança diferentes. URL: www.usenix.org / eventos / bytopic / security.html

Setembro Simpósio Europeu sobre Investigação em Segurança Informática -Realizada no Oeste Europa, esta conferência foi um evento bianual por muitos anos, e touts como o "Levando pesquisa orientada conferência sobre a teoria ea prática da segurança de computadores na Europa "(ESORICS, 2009). Hoje, este evento é executado a cada ano e tem a duração de 5 dias, com as palestras de apresentação sendo seguido por workshops. URL: www.laas.fr/ ~ esorics / Simpósio Internacional sobre Avanços Recentes em Detecção de Intrusão (RAID) Esta conferência alterna seu país anfitrião entre a Europa Ocidental e os Estados Unidos a cada ano, com excepção da Austrália em 2007. O propósito


desta conferência é muito específica -para discutir questões e tecnologias relacionadas para detecção de intrusão e de defesa, e está em funcionamento desde 1998. Lá há oportunidades de formação adicional, além das apresentações. URL: www.raid-symposium.org/ Toorcon -Realizada em 2 dias, Toorcon acontece em San Diego, Califórnia. O primeiro dia de palestras tem hora, enquanto que o segundo dia tem como objetivo fornecer palestras curtas sobre temas menos longas. Dois dias de eventos de treinamento ocorrer antes o início das negociações da conferência. Duas salas de conferências diferentes são usado, e realmente não seguir nenhum tema específico, o que significa que você pode tem que decidir entre duas apresentações interessantes que ocorrem no mesmo tempo. URL: www.toorcon.org

Outubro Internet Measurement Conference (IMC) -Embora o título não parece ter nada a ver com o teste de penetração ISS ou profissional, este conferência contém bastante alguns tópicos que realmente se relacionam, incluindo ameaças de segurança de rede e contramedidas, detecção de anomalias de rede, e protocolo de segurança (Internet Conferência Measurement). URL: www. imconf.net / Microsoft Security Briefings BlueHat -Como mencionado anteriormente atendimento, a esta conferência é apenas por convite. Destinadas a melhorar a segurança da Microsoft produtos, os apresentadores são uma mistura dos funcionários da Microsoft e não-Microsoft pesquisadores e profissionais de segurança. Por causa de sua exclusividade, há há oportunidades de formação adicional a este evento de dois dias. URL: http:// technet.microsoft.com/en-us/security/cc261637.aspx

Novembro Association for Computing Machinery Conferência (ACM) no computador e Segurança das Comunicações -A ACM começou esta conferência em 1993 e tem conferências realizadas nos Estados Unidos, mas principalmente na costa leste. Esta conferência centra-se principalmente em informação e segurança do sistema, e tem oficinas fora do local de treinamento. URL: www.sigsac.org / ccs.html

Dezembro Anual Computer Security Conference Applications (ACSAC) -Realizada principalmente no sul dos Estados Unidos (em qualquer lugar entre a Flórida e Califórnia), este conferência centra-se na segurança do sistema de informação. Esta conferência tem a duração de 5 dias e tem todo o dia, tutoriais e workshops sobre os primeiros dois dias do conferência que abrangem diferentes técnicas relacionadas com sistemas e redes segurança. URL: www.acsac.org/ Chaos Communication Congress -Chaos Communication Congress é um relatório anual reunião realizada em Berlim, Alemanha. Este evento apresenta uma variedade de palestras e


workshops sobre questões técnicas e políticas. De acordo com o site, o seis seguintes tópicos são discutidos (Chaos Communication Congress, 2008): ■

■

■

■

■

■

Hacking: Programação hardware, hacking, criptografia, rede e sistema de segurança, falhas de segurança e uso criativo da tecnologia Fazendo: Eletrônica, 3D-fabbing, tecnologia sobrevivência mudanças climáticas, robôs e aviões, máquinas a vapor, ferramentas de transporte alternativo Ciência: Nanotecnologia, a computação quântica, física de alta freqüência, bio-tecnologia, interfaces cérebro-computador, a análise automatizada de vigilânciacctv lance Sociedade: ferramentas Hacker e da lei, as práticas de vigilância, censura, intelquestões de propriedade intelectual e direitos autorais, a retenção de dados, as patentes de software, os efeitos da tecnologia sobre as crianças, eo impacto da tecnologia na sociedade em geral Cultura: objetos de arte eletrônica, stand-up comedy, geek, entretenimento video game cultura jogo e bordo, música, arte 3D Comunidade: Free-for-all

Há workshops adicionais, mas estas são focadas principalmente em temas listados acima, e são criados em uma base um tanto ad hoc. URL: http://events.ccc.de/congress/

Comunidades locais Apesar de todas as vantagens obtidas como um membro de uma organização de segurança e o conhecimento aprendido com o grande número de conferências, ainda há momentos quando um grupo menor e mais focado de indivíduos podem fazer a diferença na compreensão de um conceito sobre a segurança do sistema de informação. É aí que comunidades locais vêm dentro Modelado após grupos de computadores do passado, hoje grupos de interesses especiais se concentrar em um tópico muito específico para que os membros podem realmente compreender os conceitos, bem como realizar a aprendizagem prática. Chances são de que existem muito poucos dessas comunidades dentro de sua própria cidade natal -é apenas uma questão de saber que estão lá fora. Faculdades local -Acredite ou não, existem muitos grupos de estudantes na faculdade campi que permitem aos alunos noncollege para participar nas atividades do clube. Ele faz sentido para eles incluem talentos locais em suas reuniões, incluindo aqueles simplesmente interessados no assunto. Muitas vezes, as escolas serão os patrocinadores da organizações nacionais, tais como grupos de DefCon local, usuários Linux 'Grupos (Talões), Snort Grupos de Usuários ", e assim por diante, que são abertas a todos. Grupos DefCon -Iniciado em 2003, esses grupos são realizadas mensalmente em todo o mundo e são organizadas localmente. Com qualquer grupo local de qualidade, das conversações e reuniões está diretamente relacionada com os esforços de seus membros, porém com as personalidades direito e interesse ativo, esses grupos podem fornecer uma série de boas informações sobre a realização de pentest ataques. URL: www.defcon.org/ html / defcon grupos / dc-grupos-index.html


Grupos de 2600 -As mesmas pessoas que colocam sobre a conferência HOPE também promover grupos locais 2600. Focados nas coisas mesmo que o HOPE conferência, esses grupos locais têm membros muito bem informados sobre hacking. URL: http://2600.org/meetings/mtg.html Chaos Computer Club (CCC) -Localizados principalmente na Alemanha, estes locais grupos de fornecer aos membros do mesmo tipo de conhecimento hacker encontrados no Conferência anual da CCC, em Berlim. URL: www.ccc.de Espaços hacker -Originário da Europa, o conceito de espaços Hacker lugares onde hackers local possam se encontrar e participar em projectos de grupo -tem atravessou o oceano e continuou nos Estados Unidos. Cada local tem algo diferente para oferecer, e geralmente tem um tema comum, se é hacks software, hardware hacks, hacks de jogos, ou entre em nada. URL: http://hackerspaces.org USENIX -Embora esses grupos não incidem especificamente sobre a informação segurança, que cobrem uma variedade de tópicos UNIX e Linux, incluindo a segurança do esses sistemas. Se o seu interesse se estende para o ambiente UNIX e Linux, verificar esses grupos fora. URL: www.usenix.org / membership / ugs.html Snort Grupo de Usuários -Se o seu interesse reside na detecção de intrusão, você pode querer para verificar os Grupos de Usuários Snort. Embora este grupo não pode ser diretamente relacionados com os testes de penetração, ele fornece alguma introspecção em rede segurança, que é benéfico para PenTesting. URL: www.snort.org/community/ usergroups.html

Listas de discussão Embora existam algumas listas de discussão associado a muitas das conferências, grupos e organizações profissionais listados acima, existem alguns adicionais listas de discussão é absolutamente necessário estar ciente de se você está pensando em ser um profissional verificador da penetração. Provavelmente, o lugar para onde ir para encontrar pentest de discussão relacionados ao bom listas é www.Securityfocus.com / archive, onde têm as seguintes listas, e mais (as descrições são diretamente Security Focus):moderada para a detalhada Bugtraq -Bugtraqseguintes é um completo divulgação do lista de discussão discussão e divulgação de vulnerabilidades de segurança do computador: o que eles são, como explorá-los, e como corrigi-los. Concentre-se no Microsoft -Esta lista discute o how-to, e por isso é dos vários mecanismos de segurança disponíveis para ajudar a avaliar, proteger e correção da Microsoft tecnologias. Esta lista serve como uma ajuda para rede e sistemas administradores e profissionais de segurança que são responsáveis pela impleexecução, revisão e garantir a segurança dos seus hosts Microsoft e aplicações. Focus-IDS -Focus-IDS é uma lista de discussão moderada para a discussão de detecção de intrusão e tecnologias relacionadas. Isso inclui tanto host e Sistemas de Intrusão baseado em rede de detecção (NIDS / HIDS), Intrusion Prevenção Systems (IPS), bem como outras tecnologias relacionadas e futuras.


INCIDENTES -A lista de discussão INCIDENTES é uma lista de discussão levemente moderado a facilitar a troca rápida de segurança da informação incidente. Teste de penetração -A lista de testes de penetração é projetado para permitir que as pessoas conversar sobre testes de penetração profissional e rede geral auditoria. Noções básicas de segurança -Esta lista destina-se à discussão sobre segurança várias questões, todas para o iniciante de segurança. É um lugar para aprender as cordas de uma forma nãoambiente intimidador, e até mesmo um lugar para pessoas que podem ser especialistas em um campo particular, mas está procurando aumentar seus conhecimentos em outras áreas de segurança da informação. A lista de discussão Security-Básico destina-se a ajudar os responsáveis pela segurança de sistemas individuais (incluindo o próprio computador para casa) e pequenas redes locais. Isto inclui, mas não se limita a pequenos empresas, com sede em casa, e usuários domésticos. Esta lista tem como objectivo para pessoas que não são necessariamente especialistas em segurança. Como tal, é também um excelente recurso para o novato que quer um não-lugar ameaçando aprender as cordas. SecurityJobs -Enquanto este realmente não se relacionam com o teste de penetração, é sempre importante manter um pulso sobre o que a indústria está procurando de seus funcionários, incluindo engenheiros pentest. SecurityJobs é uma lista de discussão e Fórum sobre SecurityFocus desenvolvido para ajudar os profissionais de segurança de TI encontrar trabalho em seu campo. Esta lista é mantida para ambos os empregadores à procura de número de funcionários e para os particulares que procuram emprego. Como mencionado, há outras listas de discussão para se juntar, mas o que eu listados são usados pesadamente no negócio. Provavelmente, você vai ficar sobrecarregado com a quantidade de informação no início, mas que vai certamente ajudar a compreender o estado de segurança da informação global.

RESUMO Embora nós cobrimos um monte de opções de carreira diferentes e continuando oportunidades de educação, tenha em mente que não há caminho garantido para se tornar um engenheiro de teste de penetração profissional ou gerente. Este capítulo irá ajudá-lo definir o que você quer fazer e em que áreas você pode se especializar, mas como qualquer outra profissão, você precisa planejar com cuidado e esperar que ele tome tempo antes de você completar seu objetivo. Como afirmei no início deste capítulo, é extremamente útil se você pode tornar um especialista em uma área dentro de TI ou ciências da computação. Ao se tornar um guru no algo -se é arquitetura de rede, projetos de sistemas ou aplicações e bancos de dados -focando em uma área irá ajudá-lo destacar-se generalistas. Independentemente da sua posição sobre o valor das certificações, RH de grandes empresas , muitas vezes, jogar fora o seu currículo, sem as certificações direita. Ou isto não é realmente a melhor maneira de encontrar a pessoa certa para o trabalho é imaterial quando você é a caça do trabalho; certificações são uma forma fácil para o HR para filtrar possíveis


candidatos rapidamente. Não ser o único a perder o seu emprego dos sonhos apenas por causa de um argumento filosófico. Depois de conseguir as certificações direita, certifique-se de manter em dia com as últimas desenvolvimentos dentro da ISS. Organizações locais e internacionais pode ajudar com isso. Assistir às reuniões mensais, além do benefício de ouvir briefings de outros membros do grupo e profissionais, você pode fazer um pouco de rede, mesmo se você são novos para o campo da ISS. Ser um rosto familiar pode ajudar na decisão de contratação, quando você tem a chance de aplicar para o cargo de engenheiro de testes de penetração. Além disso, ficar em contato com os eventos diários juntando-se as listas de discussão. Eu não posso forçar suficiente como benéfico destas listas de discussão são, e quanto mais cedo você souber sobre um vulnerabilidade ou exploit, o mais rápido você pode proteger seus sistemas de organização (Ou melhor ainda explorá-los mesmo antes do Black Hats fazer). Pode parecer muito, mas como eu mencionei, a maioria de seu trabalho será de aprendizado. Novo técnicas estão constantemente a ser inventados para contornar dispositivos de segurança dentro uma rede. É seu trabalho como um verificador da penetração profissional a conhecer estas técnicas tão rapidamente como os chapéus pretos, quando entrou em cena. Nada é pior do que a realização de um teste de penetração, e dizendo a seus clientes sistemas são seguro, apenas para descobrir mais tarde que você perdeu um exploit que tem sido em torno de meses (se não anos) que pode falhar rede dos seus clientes -especialmente se for o clientes que informá-lo da exploração, após a sua rede foi aleijado.

As soluções da FAST TRACK Caminhos da carreira ■

Expertise testes de penetração pode ser reduzida em três diferentes campos: redes, sistemas e aplicações.

■

Testadores de penetração com um fundo arquitetura de rede pode identificar deficiências em uma grande variedade de projetos de rede, bem como a colocação de elementos dentro desses projetos.

■

Testadores de penetração que se especializam em administração de sistemas muitas vezes começam com um tipo de sistema operacional e, em seguida, expandir esse conhecimento através da aprendizagem sobre coisas tais como protocolos de comunicação segura, compartilhamento de arquivos, o diretório de penetração que se especializam em aplicação e bases de dados Testadores serviços, sistema de endurecimento, os processos de backup e muito mais. normalmente entender o que é preciso para criar aplicações (como programador ou gestor de uma equipe de programação), e como eles interagem com bancos de dados.

■

Certificações ■

Um grande impulso na obtenção de certificações no âmbito do governo é o DoD Directiva 8570, que declara os requisitos para o emprego várias posições e certificações necessárias para manter essas posições.


■

Certificações e diplomas não "Provar" nada, além de você pode tomar exames.

■

Certificações e diplomas são muitas vezes necessárias para obter HR passado, assim você pode obter uma entrevista. Agências do governo exigem certificações certas para determinadas profissões.

■

Associações e Organizações ■

Há uma variedade de organizações de segurança da informação que divulgam notícias sobre os acontecimentos dentro da indústria, incluindo locais e nacionais associações.

■

Muitas conferências de segurança também estão fornecendo oportunidades de formação ao longo com qualquer programadas apresentações, permitindo que os testadores de penetração para expandir suas oportunidades de formação. Existem algumas listas de discussão que fornecem o testador de penetração com o mais recente em notícias e vulnerabilidades relacionadas à segurança da informação.

■


Eu tenho que ter certificações para realizar um teste de penetração?

A:

Não há requisitos de certificação para a profissão de penetração testes. No entanto, os empregadores podem hesitar em contratar alguém sem indústria reconhecidas certificações. Obtenção de certificações é muitas vezes necessário para obter HR passado.

Q:

Que tipo de certificações que eu deveria começar a se tornar um profissional de penetração tester?

A:

Depende realmente de seu interesse. Se as redes ou sistemas operacionais são os seus interesses, obter a rede ou sistemas de segurança operacional certificações específicas para o fornecedor de sua preferência. Se o seu interesse está em bancos de dados ou aplicações, procure certificações de alto nível e apoio -los com certificações específicas para a versão em língua ou banco de dados você está interessado em

Q:

Como faço para encontrar uma associação local dedicada a testes de penetração? Embora não existam organizações especificamente focada em testes de penetração,

A:

existem inúmeras organizações que se concentram em segurança do sistema de informação. Visite sites das organizações Web listados neste capítulo e olhar para uma lista de grupos locais.


Expandir suas habilidades Quer saber sobre a coleta de informações? Os exercícios seguintes destinam-se para lhe fornecer conhecimentos e competências adicionais, para que você possa compreender este tópico melhor.

Exercício 3.1 Planejamento de carreira 1.

Crie um currículo contendo uma lista de sua segurança desejada e / ou gestão certificações e incluem o seguinte: ■A certificação de alto nível. Se certificações concentração adicional são disponíveis, selecione uma dessas também. ■

2.

Múltiplas certificações específicas do sistema, de acordo com seus interesses (sejam é em redes, sistemas ou aplicações). Explicar suas escolhas e como eles iriam ajudá-lo como um verificador da penetração profissional.

Explicar as suas opções e como iriam ajudá-lo como um profissional verificador da penetração.

Exercício 3.2 Relacionadas à segurança Organizações 1.

Com base em seu currículo criado no Exercício 3.1, identificar as organizações onde a adesão seria benéfica.

2.


Exercício 3.3 Conferências de segurança e grupos locais 1.

Pesquisar na Internet à procura de conferências de segurança que correspondem à sua certificação seleções feitas no Exercício 3.1.

2.

Pesquisar na Internet e identificar grupos locais ou conferências que ajudam a continuar a sua educação dentro dos temas de suas certificações escolhido. Lista reunião datas e assistir a um dos eventos.

3.



Referências Beck, K., Beedle, M., Bennekum, A., Cockburn, A., Cunningham, W., Fowler, M., et al. (2001). Manifesto para o desenvolvimento ágil de software. Obtido em http://agilemanifesto.org/ Chaos Communication Congress (CCC). Chamada para participação. Obtido em http://events.ccc. de/congress/2008/wiki/Call_for_Participation CheckPoint Software Technologies, Ltd. Exame: 156-110. Obtido em www.checkpoint.com/ services/education/certification/exams/156-110.html Cisco Systems, Inc. (2009a). CCSP certificação. Obtido em https://cisco.hosted.jivesoftware. com.br / comunidade / certificações / CCSP / syllabus Cisco Systems, Inc. (2009b). Exame IINS. Obtido em https://cisco.hosted.jivesoftware.com/ comunidade / certificações / security_ccna / IINS Cisco Systems, Inc. Escrito blueprint exame v2.x. Obtido em www.cisco.com/web/learning/ le3/ccie/security/wr_exam_blueprint_v2.html Departamento de Defesa Conferência Cyber Crime. Obtido em www.dodcybercrime.com/9CC/ overview.asp ESORICS. (2009). ESORICS conferência de 2009. Obtido em http://conferences.telecombretagne.eu/esorics2009 Federal Conferência de Segurança de Informação. Obtido em www.fbcinc.com/fisc/ Certificação Global Information Assurance. GIAC especialista em segurança (GSE). Obtido em www. giac.org / certificações / gse.php Certificação Global Information Assurance. GIAC liderança certificação de segurança. Retirado de www.giac.org / certificações / gestão / gslc.php Certificação Global Information Assurance. GISF boletim de certificação. Obtido em www. giac.org / certbulletin / gisf.php Certificação Global Information Assurance. GPEN boletim de certificação. Obtido em www. giac.org / certbulletin / gpen.php Certificação Global Information Assurance. GSEC boletim de certificação. Obtido em www. giac.org / certbulletin / gsec.php Certificação Global Information Assurance. GSLC boletim de certificação. Obtido em www. giac.org / certbulletin / gslc.php Certificação Global Information Assurance. GWAPT boletim de certificação. Obtido em www. giac.org / certbulletin / GWAPT.php GOVSEC Expo. Exposição. Obtido em www.govsecinfo.com / exposition.html IEEE Simpósio sobre Segurança e Privacidade. Obtido em www.ieee-security.org/TC/SP-Index.html Internet Measurement Conference (IMC). Obtido em www.imconf.net/ ISACA. CISA prática de trabalho de certificação. Obtido em www.isaca.org / cisajobpractice ISACA. CISA visão geral de certificação. Obtido em www.isaca.org / cisa ISACA. CISM prática de trabalho de certificação. Obtido em www.isaca.org / cismjobpractice ISACA. CISM visão geral de certificação. Obtido em www.isaca.org / CISM 2

(ISC) 2. Sobre o (ISC) . Obtido em www.isc2.org/aboutus (ISC) 2. CAP -Certificação e acreditação profissional. Obtido em www.isc2.org/cap/

Referências 99

(ISC) 2. CISSP -Certified Information Systems Security Professional. Obtido em www.isc2. org / CISSP / (ISC) 2. CSSLP -Certificadas software seguro ciclo de vida profissional. Obtido em www.isc2.org/ CSSLP certification.aspx(ISC) 2. ISSAP: Sistemas de informação arquitetura de segurança profissional. Obtido em www.isc2. org / issap.aspx (ISC) 2. ISSEP: Sistemas de informação engenharia de segurança profissional. Obtido em www.isc2. org / issep.aspx (ISC) 2. ISSMP: Sistemas de informação de gestão de segurança profissional. Obtido em www. isc2.org/issmp.aspx (ISC) 2. SSCP -Sistemas de segurança profissional certificado. Obtido em www.isc2.org/sscp/ Juniper Networks. JNCIA-ER objetivos do exame. Obtido em www.juniper.net/us/en/training/ certificação / resources_jnciaer.html Mertvago, P. (1995). O dicionário Russo-Inglês comparativa de provérbios russos e provérbios. New York: Livros Hippocrene. ShmooCon. Obtido em www.shmoocon.org Manifesto TCC. Obtido em www.wisdom.weizmann.ac.il/ ~ tcc / manifesto.html U. S. Departamento de Defesa. (2008). DoD 8570,01-M. Obtido em www.dtic.mil/whs/ directives/corres/pdf/857001m.pdf


CAPÍTULO

Configurando seu Lab

4

SOLUÇÕES NESTE CAPÍTULO Lab pessoal ................................................ .......................................... Lab corporativa ................................................ ........................................ Proteger dados de teste de penetração .............................................. .................... Hardware de rede adicional ............................................... .......................

102 106 108 112

INTRODUÇÃO Дело право, толко гляди прямо. -Provérbio russo: "O resposta mais curta é fazer. " (Mertvago, 1995)

Para aqueles que estão interessados em aprender como fazer teste de penetração (Ou hacking, se você quer ser "Edgy") há muitas ferramentas disponíveis, mas muito poucos alvos para prática com segurança contra -para não mencionar legalmente. Para a penetração, muitas aprendizagem táticas tem sido através de atacar sistemas na Internet. Embora isto possa fornecer uma riqueza de oportunidades e metas, é também bastante ilegais. Muitas pessoas ter ido para a cadeia ou paga enormes quantias de dinheiro em multas e restituições -tudo para hacking sites Internet. A única opção real disponível para aqueles que querem aprender o teste de penetração legalmente é criar um laboratório de teste de penetração. Para muitos, especialmente pessoas novas para rede, esta pode ser uma tarefa assustadora. Além disso, há a dificuldade acrescida de criação de cenários do mundo real para a prática de contra, especialmente para aqueles que fazem não sabe o que um cenário do mundo real pode parecer. Estes obstáculos, muitas vezes são assustador o suficiente para desencorajar muitos de aprender como conduzir uma Pentest projeto. Este capítulo eo próximo irá discutir como configurar teste de penetração diferentes laboratórios, bem como fornecer cenários que imitam o mundo real, proporcionando a oportunidade de aprender (ou melhorar) as habilidades que os testadores de penetração uso profissional. Criando um pentest laboratório, seremos capazes de repetir hands-on teste de penetração 101 Teste de Invasão profissional Copyright © 2010 by Syngress Press Inc. Todos os direitos de reprodução em qualquer forma reservada.

102 CAPÍTULO 4 Configurando seu Lab

exercícios em servidores reais. Nós também serão capazes de realizar testes de penetração contra ativos corporativos em um ambiente seguro, sem afetar a produção sistemas.

LAB PESSOAL A necessidade de laboratórios de pessoal é alta -mesmo testadores de penetração profissional configurar de pequeno porte, laboratórios de pessoal em casa para experimentar por diante. Há uma diferença entre um laboratório de pessoal, e um laboratório de profissionais que devem ser observadas. Um laboratório profissional, mesmo se mantida por um indivíduo, pode ser usado para identificar e relatório sobre descoberta vulnerabilidades. Para aqueles leitores que estão interessados em manter um profissional laboratório, eles devem pular para a seção intitulada "Corporate Laboratório. "Esta secção vai foco na criação de um pequeno laboratório para uso pessoal, em que diferentes técnicas de hacking pode ser aprendida e replicado, mas um monte de recursos de segurança são relaxadas. O objetivo principal dos laboratórios de pessoal é quase puramente educacional e, muitas vezes usado para replicar ou criar exploits. Isso é diferente de laboratórios corporativos, que são usados para explorar ativossimples corporativos. Mantendo-o Custo é geralmente um driver na tentativa de manter laboratórios de pessoal pequeno e administrável. A menos que haja a necessidade de incluir um lote de equipamentos, laboratórios podem residir em um único sistema usando máquina virtual (VM) aplicações. Também não há necessidade de manter uma grande biblioteca de aplicativos. Aplicações Open Source pode ser baixado quando necessário, e sistemas podem ser facilmente reconfigurados em laboratórios de pequeno porte. A menos que um laboratório pessoal mantém todos os dados sensíveis, um monte de controles de segurança pode ser eliminados, incluindo as questões de segurança mencionadas neste capítulo. Se wireless conectividade é utilizada no laboratório, controles de acesso devem permanecer no local, no entanto.

Equipamento

Embora os equipamentos mais antigos de computador pode ser usado em um laboratório de teste de penetração, mais velhos equipamento tem um custo adicional geralmente não considerados, incluindo tempo e de energia. Um laboratório de pessoal que só incide sobre aplicações e sistema operacional (OS) hacking não requer nenhum equipamento de rede avançada, mas não exigem uma plataforma de computação mais robusto para lidar com várias máquinas virtuais em execução simultaneamente. Ao realizar ataques de força bruta ou ataques de senha, mais rápido velocidade de processamento é benéfica -algo que os sistemas mais antigos podem nem sempre fornecer. Embora os sistemas mais velhos são mais fáceis de encontrar (alguém está sempre tentando para me dar os seus computadores de idade), eles podem realmente ser mais um obstáculo do que uma ajuda.

Lab pessoal 103

TIP Descobri que eu possa realizar todas as minhas aplicações e testes de penetração OS usando apenas um laptop decente e VMware Player como o motor VM. No passado, eu usei sistemas mais antigos que só podia executar uma imagem de cada vez, exigindo-me a manter vários sistemas, todos os sistemas gerou uma grande quantidade de calor e consumiu muita energia. Com a tecnologia de hoje, só faz sentido para procurar mais barato e mais eco-friendly alternativas.

Software Uma vantagem para qualquer um criar um laboratório de pessoal é que nas informações de hoje ambiente de tecnologia, muitas aplicações utilizadas em redes corporativas são Open Fonte, que são fáceis e livres de se obter. Software proprietário, incluindo sistemas operacionais, é outra questão. Em laboratórios de pessoal, uma escolha difícil precisa ser feita -ficar com todas as Aplicações Open Source, ou pedido de compra, conforme necessário. Enquanto a Microsoft Developer Network tem assinaturas anuais para muitos dos produtos Microsoft e pode ser uma alternativa rentável a longo prazo, as aplicações mais velhos e SOs ainda pode ser comprado online. Em alguns casos, versões de teste também pode ser descarregados de forma gratuita. Menos que haja uma necessidade de obter o software proprietário (como replicar um recémdescobriu explorar), software Open Source é geralmente suficiente para aprender hacking técnicas, incluindo a aplicação do sistema, banco de dados, Web e ataques. Outro opção para a obtenção de software seria visitar VMware e download de alguns pré-construídos OS imagens contendo aplicações em www.vmware.com/appliances/. Estes "Virtual aparelhos "podem ser usados como alvos em um laboratório, e eles também oferecem uma oportunidade para prática as metodologias de teste de penetração descritos mais adiante neste livro.

NOTA Existem algumas outras desvantagens de usar ferramentas Open Source -um daqueles que estão sendo suporte a aplicativos. As ferramentas comerciais de grande porte tendem a ter uma equipe de suporte que rapidamente responder às suas questões e problemas (eles melhor, considerando o quão caro eles tendem a ser). Ferramentas de código aberto não costumam ter este tipo de apoio -problemas mais preferiria ter a ser procurado pelas páginas wiki ou vários fóruns espalhados pela Internet.

Exercícios de laboratório para Book

Na Parte II deste livro, vamos usar a seguinte configuração geral para o nosso laboratório pessoal, como visto na Figura 4.1. Como podemos ver, existem duas peças de hardware um roteador e um computador. Mesmo que Figura 4.1 mostra um laptop e um celular router, estes não são uma exigência; um roteador com fio e um desktop irá funcionar tão bem. O sistema operacional do computador será Microsoft Windows. Todos os LiveCDs será executado dentro uma VM -para os nossos exemplos, vamos utilizar o VMware Player.


Roteador sem fio

VM Player

VM Player

Laptop

BackTrack

Servidor de destino

FIGURA 4.1 Laboratório de Configuração

Aqui está uma lista de informações de configuração que pode ser reproduzido em qualquer laboratório tentando repetir os exemplos fornecidos no livro. Configuração do roteador: ■ Dynamic Host Configuration Protocol Server (DHCP): ativa ■

Endereço Pool Starting: 192.168.1.2

■

Local Area Network Transmission Control Protocol / Internet Protocol (LAN TCP / IP): ❐

Endereço IP: 192.168.1.1

❐

IP Subnet Mask: 255.255.255.0

Configuração do computador: ■

400 MHz ou processador mais rápido (500 MHz recomendado)

■

512 MB de memória de acesso aleatório mínimo (RAM) (2GB RAM recomendado)

VM: ■

VMware Player

■

Disponível em: www.vmware.com/products/player/

Lab pessoal 105

FIGURA 4.2 Diretório contendo arquivo ISO e VMX

Cada LiveCD, incluindo a imagem BackTrack, são fornecidos no DVD como um International Organization for Standardization imagem de disco (ISO). No caso em que o uso de LiveCDs é o preferido, as imagens ISO podem ser usados para criar versões CD dos servidores De-ICE LiveCD, usando software gravador de DVD. A maneira mais conveniente para montar um laboratório é utilizar as imagens ISO, juntamente com uma Arquivo. VMX, que está incluído no DVD. Para usar o arquivo VMX com o disco ISO imagem, os dois arquivos precisam estar no mesmo diretório, como pode ser visto na Figura 4.2. Se VMware está instalado, o sistema operacional Microsoft vai reconhecer o arquivo VMX como um arquivo de configuração do VMware. Lançar o arquivo VMX irá executar o arquivo ISO dentro VM Player. Na Figura 4.3, o conteúdo do arquivo VMX são listados. A linha ide1: 0.fileName = "Bt2final.iso" pode ser modificado para corresponder ao nome do arquivo ISO.

FIGURA 4.3 VMX de Conteúdo do Arquivo


FIGURA 4.4 Directory WebGoat

No caso de WebGoat, o aplicativo não foi projetado para ser executado em uma máquina virtual. Para Neste livro, vamos correr WebGoat no sistema do computador em si. Figura 4.4 mostra um instantâneo dos arquivos e diretórios usados por WebGoat. Como podemos ver, há dois arquivos de lote que o lançamento WebGoat. Os arquivos e diretórios estão em um arquivo compactado, que está disponível no DVD que acompanha ou para download em http://code.google.com/p/webgoat/. O história e documentação para WebGoat podem ser encontradas em www.owasp.org / index. php / Categoria: OWASP_WebGoat_Project. O arquivo zip pode ser extraído em qualquer diretório no sistema de computador (indicado como o laptop na Figura 4.1). Uma vez extraídos, um dos arquivos bat podem ser executados, o que será demonstrado no Capítulo 11.

LAB CORPORATE Muitas empresas ainda não vêem a segurança como uma maneira de melhorar os lucros e não são dispostos a estabelecer em nível corporativo equipes testes de penetração. Estas organizações muitas vezes simplesmente contratar para auditorias de segurança, e eles podem ou não podem contratar para testes de penetração. No entanto, um grande número de corporações estão adotando uma visão diferente, e eles estão criando grupos de avaliação de risco corporativo para avaliar ativos. Esta seção discutirá pentest laboratórios que têm o apoio da empresa. Laboratórios corporativos têm uma função diferente do que laboratórios pessoal. O objetivo de laboratórios de pessoal é, muitas vezes puramente educacional. Laboratórios corporativos são os sistemas que contêm ferramentas de hacking de todos os tipos, de modo que os engenheiros de teste de penetração pode atacar ativos corporativos, procurando por vulnerabilidades exploráveis. Há uma expectativa que pentest engenheiros já sabem como conduzir ataques e comprometer vulnerabilidades, assim laboratórios prática raramente são criados. Nos casos em que os engenheiros necessidade de testar exploits, redes de teste que espelho redes de produção são normalmente postos à disposição do pentest equipe. Manutenção e sistemas de aplicação de patches que fazem a varredura e ataques ativos corporativos é essencial e, geralmente, mandatado pela política corporativa. Além do sistema de patching, acesso deve ser fortemente controladas. Informações recolhidas durante uma penetração teste é extremamente sensível, e acesso não autorizado aos dados coletados podem

Lab corporativa 107

comprometer não só o sistema alvo, mas também a corporação como um todo. Lá muitos métodos diferentes que podem ser usadas para impedir o acesso não autorizado a corporativa teste de penetração de sistemas de laboratório, incluindo firewalls, controles de acesso, e one-time passwords. A arquitetura circundante pentest sistemas vão diferem consoante as necessidades do negócio da empresa e sensibilidade dos dados coletados durante um teste de penetração.

Interna Labs Não há muita diferença entre laboratórios de testes internos e externos de penetração no que diz respeito a hardware e software. A diferença entre os dois grupos é a acessibilidade. Laboratórios internos são colocados na intranet da corporação, que geralmente tem menos restrições sobre o acesso aos ativos de rede e servidores. Testes de penetração dentro de uma rede corporativa, muitas vezes maior que o rendimento sucessos PenTests externo, principalmente porque há um ponto de vista dominante entre sistema administradores que os funcionários da empresa devem ser confiáveis. O propósito por trás de testes de penetração interna é identificar as vulnerabilidades que são suscetíveis ao ataque do "Insider ameaça. ataques "Insider não são atribuíveis apenas aos empregados -empreiteiros e fornecedores que têm acesso a servidores internos são todos parte da ameaça interna.

NOTA Embora Hollywood gosta de usar hackers mal invadir redes corporativas em enredos de filmes, a realidade é bem diferente. A maioria dos ataques (intencional ou não) vêm de empregado ou sistemas de empreiteiro e são lançados de dentro da rede corporativa -não externamente. Testes de penetração deve incluir tanto a nível interno e externo para testes de penetração assegurar a todos vulnerabilidades de segurança são identificados.

Externa Labs Em projetos externos pentest, o objetivo é identificar formas de penetrar através vários obstáculos (tais como firewalls e sistemas de detecção de intrusão [IDSes]) na rede e acesso aos sistemas por trás dessas defesas. Para conseguir isso tarefa, os sistemas de teste de penetração precisam ser colocados em uma rede externa. Muitas vezes, sistemas são colocados em um separado zona desmilitarizada, de modo que o acesso à pentest o laboratório de sistemas é restrito, mas o acesso a ativos corporativos é semelhante ao de qualquer Conectados à Internet do sistema.

Equipamento

O equipamento necessário para realizar testes de penetração interna ou externa varia, dependendo do tamanho e as necessidades da corporação. Geralmente, múltiplas plataformas será usado para hospedar aplicações diferentes, tais como identificação de vulnerabilidades


aplicações, plataformas de exploração de vulnerabilidades, scanners Web, e outros em geral ferramentas de hacking. Nos casos em que ataques de força bruta remotos são realizadas largura de banda, restrições devem ser abordados. Testadores de penetração das empresas podem também beneficiar de acesso aos servidores que têm capacidade de processamento, especialmente se houver senha ou fissuras, por criptografia precisa ser realizada. Acesso físico aos equipamentos pentest devem ser controlados. Dispositivos de laboratório deve não ser acessível a qualquer um, exceto os da pentest projeto. É muito mais fácil de ganhar acesso a um sistema em que o acesso físico é possível, de modo físico de segurança deve ser avaliado e reforçado de acordo com a sensibilidade dos dados.

Software

Existem muitas ferramentas open source e comerciais disponíveis para testadores de penetração que vai ajudar a acelerar e melhorar a precisão de um teste de penetração. Uma lista de ferramentas estão disponíveis em www.sectools.org. Vamos discutir algumas das ferramentas listadas na o site sectools.org em toda a Parte II deste livro e usar tanto comerciais e ferramentas de código aberto nos exemplos capítulo. Quais ferramentas utilizar depende da finalidade do negócio teste de penetração, necessidades, orçamento e -em grandes organizações, não é incomum para incluir uma variedade de aplicações para cobrir todos os tipos de testes de penetração, incluindo aplicativos projetados de ataques de rede, sistema, banco de dados e web.

PROTEÇÃO DE DADOS DE TESTE DE PENETRAÇÃO Durante um teste de penetração, os engenheiros terem acesso aos dados do cliente que pode ser muito sensíveis na natureza. É imperativo que os dados coletados cliente é protegido durante o curso de pentest o. Esta seção discutirá alguns dos desafios e soluções para proteger os dados do cliente e os sistemas de teste de penetração utilizado por pequenas e grandes organizações.

Os esquemas de criptografia Em um pentest laboratório, muitos tipos diferentes de sistemas operacionais e aplicações de software são usados. É importante para armazenar esses discos de forma segura para os dois seguintes razões: (1) discos crescer pernas invisíveis e "Andar fora "do laboratório (intencionalmente ou não), e (2) integridade dos dados nos discos é fundamental.

Criptografia de dados Em relação a discos de instalação "Andar fora ", alguém que teve de suportar uma rede encontra-se curta de discos. Às vezes é porque as pessoas emprestado eles, ou os administradores de rede esquecer e deixar os discos em bandejas de CD. Embora Pode não parecer grave, perda de software é frequentemente indicativo de procedimentos fracos e controles, que podem ameaçar a credibilidade de uma equipe de teste de penetração. Se houver

Proteger dados de teste de penetração 109

disco de instalação contendo aplicativos de terceiros ou sistemas operacionais deixa a penetração teste de laboratório, o risco de perda de dados sensíveis pode ser baixo. No entanto, se o disco de instalação contém informações sensíveis, tais como código de software proprietário ou de configuração informações, a perda de dados poderia ser financeiramente prejudicial. Para evitar eventuais perdas de tornar-se um desastre corporativo, todos os dados devem ser criptografados como viabilizar possível. Isso inclui dados em repouso em laboratório de sistemas equipamento também pode "Andar out "tão facilmente como instalar discos. Aplicação de encriptação em todos os dados em repouso coloca a responsabilidade adicional sobre os engenheiros de laboratório, uma vez chaves de criptografia devem estar devidamente protegidos. Métodos de criptografia adicionais a serem considerados incluem criptografia de disco rígido e Basic Input / Output System proteção por senha (BIOS). Existem aplicações que criptografar um disco inteiro rígido do sistema, que irá proteger os dados não autorizada divulgação no caso de o disco rígido (ou sistema inteiro) é roubado. Embora a perda de equipamento pode ser caro, a perda de quaisquer dados sensíveis pode ser muito pior. BIOS senha de proteção também reduz o risco de um usuário malicioso acesso dados do sistema, especialmente em laptops. Um sistema pode ser configurado para exigir a BIOS senha antes de iniciar, efetivamente impedindo que usuários não autorizados acessar o sistema.

Hashing dados

A questão da integridade do disco de instalação também é um assunto sério. Alguns OS e patch discos são entregues através de canais bem definidos e seguro, mas mais frequentemente do que não, patches e atualizações são baixadas diretamente pela Internet. Como é que uma pessoa que downloads de software através da Internet sabem que o que eles estão download é uma cópia fiel do arquivo e não é corrompido ou maliciosamente alteradas? Funções de hash. Todas as aplicações e software baixado para uso em um pentest laboratório deve ser verificada usando uma função hash. A função hash é um processo matemático onde um arquivo é convertido em um único valor. Este valor deve ser (teoricamente) único para cada arquivo. Qualquer modificação em um arquivo, mesmo que apenas um pouco, vai mudar radicalmente a valor de hash. O mais popular é MD5, e para aqueles escritores preocupados com a segurança de software, geralmente há um valor MD5 publicados associados a cada download. Uma vez que o Pentest equipa tem baixado um arquivo, ele é fundamental para verificar se eles têm uma cópia fiel do arquivo através da realização de um hash MD5 contra ela e comparando-a com a do autor valor publicado. Assim que isso for verificado, o valor deve ser gravado em algum lugar para referência futura, como uma pasta armazenada em um cofre. AVISO Um programa pode ter diferentes valores de hash, dependendo do sistema operacional que ele foi compilado para correr. Um hash MD5 de uma distribuição Linux pode ser diferente em outra distribuição, como o Microsoft Windows. É importante manter o controle de distribuição de sistema operacional que você está quando você grava usando o hash.


Hashes MD5 também deve ser usado em qualquer discos de instalação, para validar que o bom discos estão sendo utilizados, especialmente antes de serem usadas no pentest laboratório. Este proporciona a confiança pentest equipe que o que eles estão usando é uma cópia fiel da arquivo. Verificar o hash pode fornecer um mecanismo para detectar quando o errado versão de um aplicativo está sendo considerado para uso em um laboratório. Ao comparar a Hash MD5 de uma demanda contra uma lista impressa, ele rapidamente se torna evidente se o disco errado ou o arquivo foi escolhido para ser utilizado no laboratório. Esta etapa de validação extra é um valiosa proteção contra os erros inocentes, se o software errado é usado por acidente.

Protegendo Systems pentest Como uma boa prática, todos os computadores precisam ter salvaguardas que são pelo menos igual ao o valor dos dados que reside nele. O nível mínimo de proteção necessária para proteger o seu sistema deve ser definido por sua política corporativa. No entanto, é quase sempre aceitável para ir além desse nível mínimo. Nos casos em que ele faz não parece ser a política da empresa é suficiente, aqui estão algumas sugestões que podem melhorar a sua protecção: ■

Criptografar o disco rígido: Nas versões posteriores do Microsoft Windows, os arquivos, diretórios, e até mesmo dirigir o rígido inteiro podem ser criptografados. No entanto, compreender que não é mais do que uma maneira de descriptografar a unidade computador criptografia é freqüentemente controlado pela corporação, e eles geralmente têm um maneira de descodificar o computador também. Gerenciamento de chaves é crítica, e é espero que nas mãos de pessoas tão paranóico como testadores de penetração.

■

Lock discos rígidos em um cofre: se os discos rígidos podem ser removidos da computador de trabalho, colocando as unidades em um cofre é uma ótima maneira de proteger -los. Em caso de desastres físicos, tais como um incêndio ou terremoto, o discos rígidos podem sair ilesos do desastre (dependendo do qualidade do seguro, é claro). Se o computador de trabalho é um laptop, apenas manter o laptop todo no cofre. Laptops usados no local, um do cliente instalação deve ser constantemente protegido e nunca deve ser deixado sem vigilância. Deixando o laptop em um carro nunca deve ser considerada um método de proteção.

■

Loja sistemas em uma sala de controlo físico: Um laboratório pentest deve ser localizado em uma sala separada com controles de segurança física no local para restringir acesso a pessoas não autorizadas. Em muitas organizações de maior porte, laboratórios de teste são separados e localizado atrás chave controlada portas. No entanto, em muitos casos, o laboratório de teste de penetração ocupa espaço com servidores de vários departamentos mentos. Isto pode representar um problema, as pessoas que têm acesso legítimo a essas outros servidores provavelmente não deve ter acesso físico ao teste de penetração servidores, uma vez que podem conter dados mais sensíveis na natureza do que outros sistemas na mesma sala.

Proteger dados de teste de penetração 111

■

Realizar testes de penetração contra o pentest sistemas: Que melhor maneira de saber se o pentest sistemas são vulneráveis a ataques do que para realmente atacar -los. Naturalmente, backups precisam ser feitas (e devidamente protegido), antes deprocedimentos mão, e sanitização realizada depois.

Você Owned? Os backups podem ser infectados Uma das minhas piores experiências estava lidando com o Worm Blaster. A empresa que eu trabalhava na teve sido duramente atingida, e levou muito tempo para limpar a rede. O que era pior, porém, é que continuou sendo infectadas pelo menos uma vez por mês durante quase um ano, e nem rede, nem o equipe de segurança poderia figurar como Blaster continuei recebendo através de nossas defesas. Mais tarde, descobrimos que o laboratório de produção criaram cópias de vários servidores infectados para usar como "Fantasma" imagens, que pode ser usado para restaurar rapidamente um servidor. Embora uma grande economia de tempo para a equipe do laboratório, cada tempo trouxeram um servidor usando uma imagem fantasma infectados, a rede foi martelado.

Preocupações de segurança móvel

Um monte de testes de penetração são realizadas perto ou sobre a propriedade do cliente. Com tecnologia móvel de hoje, muitos desses testes de penetração incluir o exame redes sem fio. Em um teste de penetração, envolvendo uma rede sem fio (ou qualquer rede para que o assunto), a primeira coisa que deve acontecer é a equipe pentest precisa ter acesso à rede. Realmente não importa se é sobre o parte sem fio da rede, ou um plug na parede. Tudo o que importa é que o acesso é estabelecida. Quando o acesso ocorre em redes sem fio, um risco adicional é criado intercepção de dados sensíveis. Em alguns casos, pontos de acesso de cliente sem fio não utilizar métodos de criptografia forte para proteger os dados transmitidos para a conexão de clientes. Se um teste de penetração envolve o acesso pontos de acesso sem fio, é melhor se wireless acesso é limitado e utilizado apenas quando necessário. Acesso à rede sem fio é uma vez realizado, os testadores de penetração deve tentar mudar o acesso a um fio rede onde salvaguardas adicionais podem ser implementadas. Outro problema de segurança relacionadas com a computação móvel é o acesso à pentest sistemas. Em grandes corporações, pentest sistemas são permanentemente colocados em redes internas e externas em diferentes localizações geo-, para que o verificador da penetração pode atacar remotamente os ativos. Isso proporciona uma melhor compreensão do que riscos existem a partir de ameaças internas e externas, de modo que as medidas de segurança pode ser aplicado adequada às ameaças. Acesso aos sistemas remotos pentest precisam ser gerenciados usando controles de segurança forte. Sistemas de rede deve ser pentest colocados em redes seguras com acesso externo limitada; redes privadas virtuais pode ser usado para controlar o acesso à rede, mas ainda permitir teste de penetração engenheiros acesso aos seus sistemas para que eles possam lançar seus ataques.


Dados Wireless Lab Um laboratório de teste de penetração pode incluir pontos de acesso sem fio para fornecer a pentest engenheiros um ambiente wireless para testar técnicas de hacking. Nos casos em que pontos de acesso sem fio são desejados, é importante proteger os sistemas dentro do laboratório, já que o acesso aos sinais sem fio se estendem além das paredes e pisos. Para proteger os sistemas contra acesso não autorizado, dois laboratórios separados devem ser criados -um laboratório wireless concebido para a prática hacking wireless, e um laboratório separado que pode ser usado para conduzir ataques sistema. O laboratório wireless só deve ser usado para treinar em wireless técnicas de hacking ou para realizar testes em configurações personalizadas. Nas situações em que existem vários pontos de acesso sem fio no proximidades de sua wireless laboratório cuidado, maior é necessário para tornar o acesso à certeza de laboratório rede sem fio é controlada, usando criptografia forte e autenticação forte métodos, no mínimo. Tecnologia atual, tais como Wi-Fi Protected Access (WPA2), deveria ser uma prática padrão na criação e gestão de uma rede sem fio laboratório de testes de penetração. Segurança forte e uma rede sem fio isolado, não só proteger os dados dentro do laboratório de teste de penetração, como também protege ninguém acidentalmente ligar para o laboratório, especialmente nos casos em que os vírus, worms, ou botnets estão sendo usados para fins de teste.


Perigos em Autoconnecting Eu montar um laboratório wireless em minha casa não muito tempo atrás. Descobriu-se que a polícia local departamento ao lado do meu apartamento tinha a mesma configuração sem fio que eu pretendia uso para fins de teste. Depois de nova revisão, percebi o departamento de polícia configurar sua ponto de acesso sem fio sem criptografia. Eu só tinha plopped na minha BackTrack LiveCD e começou a cortar fora, havia uma boa chance de que eu teria sido hacking a polícia rede, ao invés da minha. Não tenho a certeza que teria tido a amabilidade de minhas atividades.

HARDWARE DE REDE ADICIONAL Em um ambiente corporativo, hardware de rede é freqüentemente incluída dentro de um teste de penetração durante as avaliações de rede. Nas redes de produção, atacando equipamentos de rede (como roteadores, IDSs, firewalls e proxies) pode, por vezes resultar em falhas de rede ou denial of service (DoS) de servidores de rede. Em casos onde há um risco para a rede, pentest projetos muitas vezes quebram os seus ataques até em dois cenários diferentes. O primeiro cenário é atacar as redes de teste que são idêntica à rede de produção. Isso permite que os engenheiros de teste de penetração para conduzir ataques mais agressivos (incluindo a força bruta e ataques DoS), e

Hardware de rede adicional 113

permite que os administradores de rede para monitorar o impacto que tem sobre o pentest da rede. Após a rede de teste foi suficientemente testada, o conhecimento aprendeu de atacar a rede de teste é então usada contra a produção rede, com a exclusão dos métodos de ataque mais agressivo. Para laboratórios de teste pessoal de penetração, o acesso a dispositivos de rede é muito mais problemático do que no mundo corporativo. Para a prática de pirataria e sonegação técnicas contra dispositivos de rede, compra de hardware são muitas vezes necessários. Se o apenas um objetivo em um laboratório pessoal é aprender como atacar aplicações e sistema operacional, hardware de rede pode ser ignorado. No entanto, para compreender todas as nuances envolvidos em hacking de rede, não há realmente nenhuma outra escolha do que comprar hardware.

NOTA Mesmo que a configuração da rede parece estar fora do tópico de penetração testes, a compreensão de como ler configurações e aprender o que o Melhor " práticas "em projetar redes é extremamente útil em um teste de penetração envolvendo dispositivos de rede. Como discutimos no capítulo 3, testadores de penetração com um fundo arquitetura de rede pode identificar deficiências em uma grande variedade de projetos de rede, que pode ser a chave para uma projeto de teste bem sucedido de penetração.

Roteadores Ataques roteador são provavelmente o tipo mais prevalente de ataques da penetração da rede testes. Inclusão de roteadores e switches na pentest laboratório forneceria um adicional faceta educacional para ataques de rede, incluindo erros de configuração de roteador, rede ataques de protocolo, e ataques DoS. Roteadores domésticos não são boas escolhas para incluir em um laboratório pessoal, pois eles são simplesmente despojado versões de dispositivos de rede real. Quais roteadores para comprar é uma escolha pessoal, dependendo do que Network Carreira de arquitetura foi escolhido. Empresas que fornecem certificação em rede são uma boa fonte de informações a respeito de que os roteadores para selecionar. Para exemplo, na seleção de uma certificação Cisco ou Juniper, seria prudente para obter os roteadores sugerido para a certificação Cisco Certified Network Professional (CCNP) ou o Juniper Networks Certified Specialist Internet (JNCIS-ER). Se o dinheiro não é uma objeto, em seguida, obter o sugerido Cisco Certified Internetwork Expert (CCIE) ou Juniper Networks Certified Internet Expert (JNCIE-ER) equipamento de laboratório faria mais sentido.

Firewalls Evasão Firewall é uma habilidade avançada que necessita de prática. Parte da dificuldade é identificar quando o firewall está impedindo o acesso a um sistema de back-end, e quando o próprio sistema é o obstáculo. Stateful e stateless firewalls apresentam diferentes problemas, bem, o que novamente requer prática para identificar e superar.


Dispositivos de rede firewall podem ser obtidos de fornecedores comerciais, tais como Cisco, Juniper, Check Point e outros. Existem algumas alternativas Open Source, incluindo firewalls cliente (como o netfilter / iptables). O Open Source alternativas fornecer uma meta realista, e tem a vantagem adicional de ser livre. O vantagem para a obtenção de dispositivos de fornecedores é que a familiarização com o diferentes configurações de firewalls comerciais podem ajudar na penetração das empresas testes, desde firewalls de código aberto são raramente vistos em grandes organizações. Não é necessário comprar high-end firewalls para o laboratório de teste de penetração. Firewalls low-end fornecedor contêm o mesmo SO e codebase como o high-end firewalls. Muitas vezes, a diferença entre o fornecedor mais barato e mais caro aparelhos é a largura de banda.

Intrusion Detection System Prevenção System / Intrusion IDS e sistema de prevenção de intrusão evasão (IPS) é útil para o início etapas de um teste de penetração. Eventualmente, o pentest equipe tentará acionar os sistemas de IDS / IPS para alertar os administradores de rede para hacking da equipe tentativas, mas inicialmente o pentest equipe irá tentar obter o máximo de informações possível sem ser notado, a fim de testar a resposta do cliente incidente procedimentos. Provavelmente o mais utilizado sistema de IDS / IPS é o software Open Source aplicação chamada Snort, que podem ser obtidas no www.snort.org. Muitos dos regras utilizadas para detectar atividades maliciosas sobre o vírus e worms de rede alvo actividade. No entanto, existem regras para detectar tentativas de hacking, como ataques de força bruta, e digitalização em rede. Compreensão "Evento thresholding " e aprender a modificar a velocidade de um ataque pode ajudar a completar com sucesso testes de penetração profissional.

RESUMO Neste capítulo, discutimos alguns dos conceitos gerais em torno pentest laboratórios, incluindo laboratórios pessoais e corporativos. O objetivo principal de pessoal laboratórios é para a educação, o que pode ser usado para recriar explorações contra ambos Fonte software proprietário e de código aberto e sistemas operacionais. Vamos usar um laboratório de pessoal para o exemplos dentro deste livro e do DVD que acompanha usando VMs. Se o software VM não é uma opção, o LiveCDs pode ser gravado em mídia de CD e usado em sistemas dentro de um laboratório de física. No capítulo 5, abordaremos o uso dos LiveCDs dentro do laboratório em maior detalhe. Laboratórios corporativos, no entanto, são utilizados para identificar as vulnerabilidades do sistema dentro redes internas e externas. Há uma expectativa de que os engenheiros vão já tem o conhecimento necessário para conduzir testes de penetração, nos casos em que o teste é necessário, laboratórios de teste são os preferidos alvos antes de qualquer PenTesting é feito contra servidores de produção.


Dispositivos de rede podem ser adicionados a um pentest laboratório para fornecer realismo adicional e oportunidades de aprendizagem. Com roteadores e switches, é melhor para obter comercial versões, uma vez que aqueles projetados para uso em casa muitas vezes são exemplos daqueles pobres utilizado em grandes corporações. Com firewalls e dispositivos IDS, existem Open Source versões que podem imitar com precisão os aparelhos comerciais.

As soluções da FAST TRACK Lab pessoal ■ ■

■

Custo é geralmente um driver na tentativa de manter laboratórios de pessoal pequeno e administrável. A menos que um laboratório pessoal mantém todos os dados sensíveis, um monte de controles de segurança pode ser eliminado. Software Open Source é geralmente suficiente para aprender técnicas de hacking, inclusive aplicação do sistema, banco de dados e Web ataques, a menos que haja uma necessidade de obter software proprietário.

Lab corporativa ■

A arquitetura circundante pentest sistemas irão variar de acordo com as necessidades do negócio da empresa, e sensibilidade dos dados coletados durante um teste de penetração.

■

O propósito por trás de testes de penetração interna é identificar as vulnerabilidades que são suscetíveis ao ataque do "Insider ameaça. "

■

Em projetos externos pentest, o objetivo é identificar formas de penetrar passado vários obstáculos (tais como firewalls e IDSs) na rede e acesso aos sistemas por trás dessas defesas.

Proteger dados de teste de penetração ■

Todas as aplicações e software baixado para uso em um laboratório deve pentest ser verificada usando uma função hash para proteger os ativos e pentest cliente da informação.

■

Pentest sistemas geralmente contêm dados que requer controles de segurança adicionais. Políticas de segurança corporativa pode ser insuficiente.

Hardware de rede adicional ■

Nas redes de produção, dispositivos de rede atacando por vezes pode resultar em falhas de rede ou DoS de servidores de rede. É prudente conduta inicial testes dentro de uma rede de teste antes de segmentação de redes de produção.


■

Os roteadores podem ser introduzidos em pentest laboratório, o que permitirá que a rede técnicas de penetração a ser aprendida. Routers e switches são comerciais preferência sobre as que foram construídas para uso doméstico.

■

Firewalls de código aberto pode ser usado para aprender técnicas de evasão firewall. Firewalls comerciais são benéficas se o objetivo é aprender sobre comercial configuração de firewall e erros de configuração em potencial que pode ser usado para burlar a proteção de firewall na rede.

■

A aplicação Snort IDS / IPS é uma ferramenta valiosa para usar em um laboratório para aprender a modificar a velocidade de ataques à rede para evitar a detecção.


Há algum software VM outros que podem ser usados em um sistema Linux?

A:

O Xen Hypervisor tem sido usado com sucesso em Linux para hospedar o De-ICE LiveCDs. Xen pode ser localizado em www.xen.org.

Q:

Por que eu deveria me importar se eu usar um ponto de acesso wireless no meu laboratório, ou se eu usar qualquer criptografia de todo? Se alguém se conecta a ele e seu sistema é danificado como um resultado de testes de penetração dentro do laboratório, é sua própria culpa para conectarse uma rede que não têm autorização para se conectar. As leis em torno acesso não autorizado a redes sem fio são ainda está sendo escrito. O problema é que a maioria dos dispositivos sem fio são configurado para se conectar automaticamente o sinal mais forte. Se esse sinal é proveniente do laboratório, o usuário não pode mesmo estar ciente que eles têm conectado a uma rede hostil. Criptografia forte pode evitar acidentes aconteça.

A:

Q: A:

Devo me preocupar com a adição de dispositivos de rede para meu laboratório, se tudo o que sou interessa é hacking Web? Provavelmente não. No entanto, o uso de proxies da Web na rede seria fornecer um desafio adicional e também prestar um serviço mais realista cenário de grandes corporações que fazer para proteger seu servidor web. Adicionando dispositivos de rede em um laboratório traz mais realismo em qualquer pentest cenário, e pode melhorar as habilidades eo conhecimento do pentest engenheiro.

Expandir suas habilidades Quero saber sobre a verificação vulnerabilidade? Os exercícios a seguir são destina-se a fornecê-lo com conhecimento e habilidades adicionais, assim você pode entender melhor este tema. Use o seu laboratório para realizar os exercícios seguintes.

Referência 117

Exercício 4.1 Criação de um Laboratório de Personal usando VMware 1.

Faça o download do player da VMware VMware.com. Instalar o aparelho em uma Windows sistema que atende aos requisitos listados neste capítulo.

2.

Testar a instalação, baixando e executando um dos pré-construídos "Virtual aparelhos ", disponível através do site da VMware em: www.vmware.com/ aparelhos /. Não feche esta VM.

3.

Use o ISO BackTrack e arquivo VMX incluído no DVD que acompanha e começar a imagem clicando duas vezes sobre o arquivo VMX. Você deve ter dois casos de VM Player executando -o aparelho virtual baixado e lançado no passo 2, ea imagem BackTrack. Se ambos os sistemas são capazes de executar sem degradação de desempenho, o sistema irá trabalhar com os exercícios fornecidas no livro e com os tutoriais em vídeo no DVD.

Exercício 4.2 Ampliação do Laboratório de pessoal com os dispositivos de rede Consulta em um motor de busca para "CCIE Equipamentos de Laboratório. List ", que 1.

roteadores são recomendados. Que muda são recomendados? O que Internetwork Operating System (IOS) é recomendado?

2.

Visite Snort.org, e obter o "Snort Manual do Usuário "da Documentações seção do site. Identificar os "Preprocessadores" listados na manual. O que é Thresholding evento? Quais são os "Três tipos de thresholding ", e sua freqüência de alertas, de acordo com o manual Snort?

3.

Definir "Iptables" e "Netfilter." Qual é a diferença entre os dois?



CAPÍTULO

Criando e usando pentest Alvos em seu laboratório

5

SOLUÇÕES NESTE CAPÍTULO Turn-Key Cenários versus Real-World Targets ......................................... ........ Turn-Key Cenários .............................................. .................................... Usando Alvos Explorável ............................................... ........................... Analisando Malware -Vírus e Worms ............................................... .......... Outras idéias Target ............................................... ....................................

120 122 136 137 144

INTRODUÇÃO Учение в счастье украшает, а в несчастьи утешает. -Provérbio russo: "Learning é um ornamento na fortuna e um consolo no infortúnio. " (Mertvago, 1995)

No capítulo anterior, discutimos diferentes tipos de teste de penetração laboratórios, incluindo pessoal e corporativa. Nós também explorou o que o laboratório pentest configuração é semelhante para os exercícios deste livro. Neste capítulo, discutiremos laboratório de design com muito mais detalhes e ver algumas maneiras diferentes de praticar Pentest habilidades. Nós já discutimos a ética do hacking alvos sem permissão, por isso vamos assumir por causa do argumento de que todas as referências a hacking real alvos mundo é feito de modo legal e eticamente. Do mundo real alvos fornecer uma grande oportunidade de aprender habilidades de hacker, pois eles são a justificativa para todo o dinheiro eo tempo gasto aprendendo a hack. No entanto, no mundo real servidores são difíceis de encontrar (mesmo através de legítimos canais), razão pela qual laboratórios de testes de penetração são tão importantes. Laboratórios de fornecer o campo de treinamento onde os erros podem ser feitas, lições podem ser aprendidas, e as habilidades podem ser ajustadas. Infelizmente, laboratórios de teste de penetração pode ser caro, e pode não refletir no mundo real alvos. Iremos discutir as diferenças entre mundo real


120 CAPÍTULO 5 Criação e Utilização de Metas pentest em seu laboratório

cenários de hacking e de laboratório, para que possamos efetivamente gerenciar nossos custos e tempo aprender a hack. Alguns aplicativos foram desenvolvidos para auxiliar no aprendizado de teste de penetração técnicas em um ambiente controlado. Vamos identificar as aplicações que pode ser usado em um laboratório, que imitam mundo real servidores contendo exploráveis vulnerabilidades. Também vamos identificar com base na Web, bem como desafios hacker concursos que ajudar um verificador da penetração profissionais melhorar as suas habilidades. Análise de malware é um outro uso possível para um pentest laboratório. Este capítulo também vai discutir como obter malware a partir da Internet e como analisar binários maliciosos de forma controlada e segura.

TURN-KEY CENÁRIOS VERSUS REAL-WORLD METAS Não importa se alguém está em uma equipe de teste de penetração global de um grande corporação ou está apenas começando para fora em um quarto de reposição de seu apartamento. Para aqueles que têm o apoio financeiro de uma empresa, metas de prática são geralmente sistemas internos, ou sistemas de clientes que tenham contratado para um teste de penetração. Para aqueles que não possuem sistemas "No a pronto ", as metas devem ser jogados juntos com a esperança de algo valioso pode ser aprendido. Nesta seção, vamos discutir os problemas associados com a aprendizagem como realizar testes de penetração em um ambiente de laboratório, e olhar para as vantagens e desvantagens com as duas metas de turn-key e do mundo real.

Problemas com Aprender a Hack Para melhor descrever os problemas com a aprendizagem de hack, eu gostaria de prestar a minha própria experiência pessoal. Quando eu queria aprender a hack computação sistemas, descobri que havia alguns livros lá fora, que me deu direção sobre como conduzir um teste de penetração. No entanto, eu encontrei uma riqueza de pentest ferramentas disponíveis na Internet, e muitos exemplos de como usar as ferramentas. Eu descobri rapidamente que, apesar das inúmeras ferramentas e exemplos, eu não poderia encontrar alvos legítimos on-line para praticar contra. Nesse ponto, eu decidi que precisava do meu laboratório de testes própria penetração. Sendo um computador geek, eu naturalmente tinham sistemas extra sentado sem fazer nada. Tomei um sistema antigo e carregado Microsoft NT, sem patches. Eu instalei o Microsoft IIS Web server e criou uma página Web muito chato, de modo que eu teria algo para testar contra. Eu corri um scan Nessus contra o alvo e descobri NT Microsoft que realmente têm vulnerabilidades exploráveis (sem grande surpresa). Lancei Metasploit, que explorava uma das vulnerabilidades descobertas. Certo suficiente -Eu tinha quebrado, e tinha os privilégios do administrador do sistema. Eu, então, modificada a página da Web para provar que eu poderia desfigurar, o que foi bem sucedida. Depois disso, eu sentei e pensei sobre o que eu tinha acabado de fazer. Eu, então, felicitou-me por ter aprendido absolutamente nada -Eu ataquei uma máquina

Turn-Key Cenários versus Real-World Targets 121

Eu já sabia que era vulnerável, e utilizado ferramentas que fez todo o trabalho. Um esforço inútil, na minha opinião. Eu sei que minha própria experiência pessoal tem sido jogado para fora várias vezes por outros, com base em mensagens no fórum Heorot.net. O problema subjacente é que É impossível para uma pessoa para criar um cenário pentest que eles podem aprender. Por desenvolvimento de um pentest cenário, o criador automaticamente sabe como explorar a sistema, a única maneira de aprender é praticar contra cenários criados por outros. Tem que haver um elemento de incerteza, a fim de aprender alguma coisa. Até recentemente, não houve cenários turn-key para a prática de contra. Que mudou ao longo dos últimos anos, e aqueles que entram no campo de profissionais testes de penetração são capazes de aprender técnicas de invasão em um muito mais seguro ambiente do que no passado. Cursos de formação estão migrando do foco apenas em ferramentas de hacker, e estão começando a introduzir metodologias na classe material. Cursos universitários têm reconhecido a necessidade de formação em informática segurança e estão a criar programas focados em testes de penetração e auditoria. Os cursos de vídeo no disco de vídeo que acompanha digital (DVD) foram um dos cursos anteriores que se concentravam em aprender a realizar um teste de penetração, e não apenas aprender a usar ferramentas de hacker. Metodologias para ensinar eficazmente, mais eficaz cenários de treinamento foram necessárias. Hoje, existem vários cenários de turn-key que pode ser baixado e usado em um laboratório para aprender a hack profissionalmente.

Cenários do mundo real Aprendendo a usar hack do mundo real servidores é arriscado. Se os erros são feitos, o empresa que possui o servidor poderia sofrer perdas financeiras. Mesmo que as perdas são não suportados, há uma chance grande uma supervisão será feita, e sistema vulnerabilidades à esquerda não identificado. Desde aprendizagem implica que o teste de penetração engenheiro não pode ter conhecimento suficiente para identificar todas as vulnerabilidades, descobertas portanto, não pode ser assumido como exatas ou completas. Em alguns casos, laboratórios de teste de produção são disponibilizados para a penetração das empresas testadores. Estes são muitas vezes muito perto de sistemas de produção, e pode fornecer um risco oportunidade de treinamento gratuito para os pentest equipe. Infelizmente, os laboratórios de produção são caro, disponibilidade e para os laboratórios é muitas vezes limitada; laboratórios de produção são normalmente ocupado patches novos testes, software e hardware. Permitindo testadores de penetração de prática no laboratório é muitas vezes atribuída uma prioridade muito baixa. Um obstáculo mais sério ao uso de um laboratório de teste de produção é que a rede e administradores de sistema são tipicamente desconfortável com pentest engenheiros atacando seus sistemas, mesmo no laboratório. Qualquer constatações feitas no laboratório coloca um monte de pressão sobre os proprietários do laboratório para aumentar a segurança de seus sistemas de teste e rede de produção. Além de carga de trabalho adicional, os resultados de segurança pode tornar o proprietários de laboratório sentir que eles são alvos si, e sendo apontada. Eles podem sentir que quaisquer conclusões irá refletir negativamente sobre suas habilidades como rede ou sistema administradores.


Para efetivamente permitir testadores de penetração para a prática em laboratórios de testes de produção ou contra sistemas de produção, um alto nível de comunicação e de cooperação devem existem entre proprietários de ativos ea pentest equipe, e de nível superior de gestão deve suportar o esforço. É possível a utilização no mundo real alvos em laboratórios de pessoal, também. Do mundo real façanhas são anunciados na mídia quase que diariamente, em alguns casos, pode ser possível para reconstruir o incidente em um laboratório, utilizando o mesmo software e hardware. O desvantagem para replicar eventos do mundo real é que ela pode nem sempre ser possível para recriar as coisas exatamente. As empresas estão reticentes para discutir as especificidades de uma ataque, ou detalhes da rede explorada. Re-criar no mundo real é muitas vezes incidentes um best-guess e podem não incluir as defesas encontradas no incidente de segurança, incluindo firewalls e sistemas de detecção de intrusão. Vulnerabilidades exploráveis são muitas vezes mitigada em grandes empresas usando vários medidas defensivas, e por não incluir essas defesas em laboratório, a aprendizagem experiência sofre, desde a exploração de um sistema muitas vezes é mais fácil sem firewalls e sistemas de prevenção de intrusão. Se alguém está tentando compreender a totalidade de um real explorar mundo contra uma corporação, as defesas de rede também devem ser identificados, em muitos casos, não é apenas um sistema vulnerável, que estava em falta para a segurança culatra.

Turn-Key CENÁRIOS Como mencionado, mais turn-key pentest cenários estão sendo criados hoje do que no passado. O resultado é que mais pessoas são capazes de aprender como conduzir testes de penetração com segurança. A desvantagem de turn-key pentest cenários é que eles só imitar do mundo real servidores, mas não pode fazê-lo fielmente. A maioria do foco soluções turn-key em um aspecto particular dentro de um teste de penetração. Os servidores Foundstone e WebGoat concentrar em Structured Query Language (SQL) e baseado na Web exploits, enquanto Damn Vulnerable Linux (DVL) concentra-se no sistema operacional Linux (OS) ataques. O De-ICE LiveCD servidores tentativa de imitar a aplicação e vulnerabilidades exploráveis, configuração e pWnOS oferece várias aplicações que são exploráveis a ataques de scripts. Todos estes cenários imitar eventos do mundo real, mas pode não refletir o mundo real de hoje ambiente. Apesar das desvantagens, turn-key cenários são o método preferido para aprender a conduzir um teste de penetração. Servidores de teste podem ser rapidamente reconstruída (Especialmente com LiveCDs e máquinas virtuais), e muitas vezes fornecem de instrução documentação, que orientam o usuário através de exploits quando eles ficam presos. Apesar de essas soluções turn-key estão focados em alguns vetores de ataque diferente, eles desafiam o usuário, incluindo vulnerabilidades que têm sido vistos no mundo real situações, pois eles podem não refletir todos os componentes encontrados em um profissional Pentest, mas eles não fornecem a exposição a como um pentest pode evoluir. Combinado com metodologia de treinamento formal, turn-key cenários auxiliar no aprendizado dos fundamentos e as habilidades intermédios necessários para realizar testes de penetração profissional.

Turn-Key Cenários 123

Atualmente, existem apenas alguns laboratórios baseados em cenários disponíveis para pentest laboratórios. Há uma abundância dos Web sites que oferecem simulados ataques baseados na Web, tais como Ataques SQL, atravessando diretório e manipulação de cookie, enquanto a habilidade de um crítico, Ataques vulnerabilidade Web é apenas um pequeno componente para a realização de compreabrangente projetos pentest. Para aquelas pessoas que trabalham para uma empresa com ready-made de produção alvos disponíveis para o treinamento, considere-se afortunado. Para a maioria de todos mais, nós deve confiar em qualquer criar o nosso próprio cenário, ou encontrar pré-fabricados cenários. O Seguem-se alguns dos mais conhecidos turn-key cenários que podem ser usados para praticar contra a aprender habilidades testes de penetração.

O que é um LiveCD? ALiveCD é um disco de inicialização que contém um sistema operacional completo, capaz de funcionar serviços e aplicações, assim como um servidor instalado em um disco rígido. No entanto, o OS é auto-suficiente no CD e não precisa ser instalado em seu disco rígido do computador para trabalhar. O LiveCD não altera OS atual do seu sistema, nem modifica o sistema disco rígido quando em uso; LiveCDs pode ser usado em um sistema que não contém um disco rígido. O LiveCD não altera nada, já que ele roda tudo, desde memória -ele monta todos os diretórios na memória também. Assim, quando o sistema ", Escreve dados ", é realmente salvar os dados na memória, não em algum dispositivo de armazenamento. Quando terminar de usar qualquer um dos LiveCDs incluído no DVD que o acompanha, podemos simplesmente remover o disco, reiniciar o sistema, e vamos voltar ao OS original e configuração do sistema. Embora vamos nos referir a LiveCDs ao longo do livro, outra opção seria ser a utilização de drives USB flash Live. Pen drives podem conter os mesmos arquivos encontrados em os LiveCDs e iniciado de forma semelhante ao LiveCDs; a vantagem de USBs Ao vivo LiveCDs é que os dados do pen drives podem ser alteradas facilmente e fez persistente. Para uma lista de LiveCD (ou Live USB) imagens disponíveis para download, visite www.livecdlist.com.

De-ICE Projetado para fornecer metas legais para praticar e aprender pentest habilidades, os LiveCDs De ICE-real são servidores que contêm desafios do mundo real. Cada disco fornece uma oportunidade de aprendizagem para explorar o mundo de testes de penetração e é destinado para iniciantes e profissionais. Disponíveis desde janeiro de 2007, o projeto De-ICE foi apresentado no conferências de segurança em todo os Estados Unidos, e foi referenciado pela primeira vez em versão impressa na livro intitulado Metasploit Toolkit para testes de penetração, Exploit, Desenvolvimento e Pesquisa vulnerabilidade, publicado por Syngress em setembro do mesmo ano. Atualmente localizada em www.heorot.net/livecds/, existem vários LiveCDs disponíveis para download gratuito (que estão incluídos no DVD que o acompanha).


Estes servidores fornecem cenários do mundo real construído sobre a distribuição Linux "Slax" (Que é derivado do slackware). Sobre esses discos, diferentes aplicações são incluído o que pode ou não pode ser explorada, assim como o mundo real. O desafio é descobrir quais aplicativos estão mal configurados ou exploráveis e obter acesso não autorizado à conta root. A vantagem de usar esses LiveCDs é que não há configuração de servidor exigido -o LiveCD pode ser simplesmente caiu na bandeja de CD, o sistema configurado para arrancar a partir do CD, e em poucos minutos hackable um completamente funcional servidor está em execução no laboratório. Podemos também usar as imagens diretamente em um LiveCD virtual máquina, como demonstrado no Capítulo 4, que torna as coisas ainda mais simples. Os discos de De-ICE também foram desenvolvidos para demonstrar os problemas comuns encontrado no sistema e configuração de aplicativos. A lista de possíveis vulnerabilidades incluídos nos discos De-ICE são as seguintes: ■

Senhas ruins / fracos

■

Serviços desnecessários (File Transfer Protocol [ftp], telnet, rlogin [?!?!])

■

Serviços sem correção

■

Muita informação disponível (informações de contato, e assim por diante)

■

Configuração do sistema pobres

■

Pobres / metodologia sem criptografia

■

Elevados privilégios de usuário

■

Sem Internet Protocol Security (IPSec) filtragem

■

Incorreta de regras de firewall (ligar e esquecer?)

■

Senhas em texto simples

■

Nome de usuário / senha embutida no software

■

Nenhum monitoramento de alarme Bem conhecidos exploits não estão incluídos nos desafios De ICE, eliminando a uso de aplicações de identificação automatizada de vulnerabilidades.

Cenários Há três disponíveis publicamente De ICE-LiveCDs incluídos no acompanhamento DVD. Cada um deles tem um cenário diferente, e requer habilidades diferentes para resolver. Os desafios mais fáceis são os 1,100 e 1,110 cenários, enquanto que o mais difícil cenário é 2,100.

1,100 Este LiveCD é configurado com um endereço de Internet Protocol (IP) de 192.168.1.100 nenhuma configuração adicional do servidor é necessária. O cenário para este LiveCD


é que um diretor executivo (CEO) de uma pequena empresa tem sido pressionada por do conselho de administração ter feito um teste de penetração dentro da empresa. O CEO, acreditando que sua empresa está segura, sente que este é um enorme desperdício de dinheiro, especialmente porque ele já tem uma empresa de digitalização de sua rede para vulnerabilidades (Usando Nessus). Para fazer o conselho de administração feliz, ele decide contratá-lo para um trabalho de 5 dias, porque ele realmente não acredita que a empresa é insegura, ele tem contratados que você olhe para apenas um servidor -um sistema antigo que só tem um Weblista com base de informações de contato da empresa. O CEO espera que você a provar que os administradores do sistema siga todas adequada práticas de segurança aceites, e que você não será capaz de obter acesso a da caixa. O sistema pentest Lab eo pentest máquina deve se conectar a um roteador que foi configurado com os seguintes valores: Dynamic Host Configuration Protocol Server (DHCP): ativa Endereço Pool Starting: 192.168.1.2 Local Area Network Transmission Control Protocol / Internet Protocol (LAN TCP / IP): Endereço IP: 192.168.1.1 IP Subnet Mask: 255.255.255.0

AVISO A maioria das pessoas quando configurar o pentest laboratório com os discos de De-ICE vai tentar "Ping" o sistema para ver se tudo está configurado corretamente. Alguns sistemas do mundo real são intencionalmente configurado para ignorar solicitações de ping. Não suponha que algo está errado com o laboratório de configuração, simplesmente porque o servidor não está respondendo a um ping.

NOTA Na Figura 5.1, estou usando um roteador wireless e um laptop para a configuração do laboratório utilizado em toda a Parte II deste livro. Embora eu tenha encontrei este para ser a configuração mais conveniente para meu uso pessoal, o roteador sem fio pode certamente ser substituído por um router com fios, eo laptop pode ser substituído por um desktop.

Figura 5.1 é uma representação gráfica do laboratório de teste de penetração com o bom configuração para cada dispositivo.

1,110 Este LiveCD é configurado com um endereço IP 192.168.1.110 -nenhuma configuração do servidor é necessária. O cenário para este LiveCD é que um CEO de uma pequena empresa tem a tarefa que você faça testes de penetração mais extensa de sistemas dentro de sua empresa. O administrador da rede tem sistemas reconfigurada dentro


Roteador sem fio

DHCP Server: ativo Endereço Pool Starting: 192.168.1.2 LAN TCP / IP: Endereço IP: 192.168.1.1 IP Subnet Mask: 255.255.255.0

VM Player

VM Player

Laptop BackTrack usando DHCP

192.168.1.100

FIGURA 5.1 Configuração pentest Lab para LiveCD 1,100 De-ICE

sua rede para atender aos requisitos de segurança mais rígidas e espera que você falhar em qualquer ainda mais as tentativas de penetração. Este sistema é um servidor ftp usado pela rede equipe de administrador para criar / reload sistemas na intranet da empresa. Não informações classificadas ou sensíveis deve residir no servidor. Através discussão com o administrador, você descobriu que este servidor tivesse sido usado no passado para manter as informações dos clientes, mas tem sido higienizado (como oposição ao reconstruída). O sistema pentest Lab eo pentest máquina deve se conectar a um roteador que foi configurado com os mesmos valores encontrados no disco de 1,100. Figura 5.2 é um representação gráfica do laboratório de teste de penetração com a configuração adequada para cada dispositivo.

2,100 Este LiveCD é configurado com um endereço IP de 192.168.2.100 -nenhuma configuração do servidor é necessária. O cenário para este LiveCD é que você tem sido dada uma atribuição para teste de rede 192.168.2.xxx de uma empresa para identificar qualquer vulnerabilidades ou exploits. Os sistemas dentro desta rede não são sistemas críticos e backups recentes têm sido criados e testados, portanto, qualquer dano que pode causar é de pouco interesse. A organização teve diversos administradores de sistemas gerenciar a rede ao longo dos últimos dois anos, e eles não tem certeza da competência do pessoal (ou atual) anterior.


Roteador sem fio


VM Player

VM Player


192.168.1.110


O sistema pentest Lab eo pentest máquina deve se conectar a um roteador que foi configurado com os seguintes valores e é um pouco diferente do que o 1,100 e 1,110 discos: DHCP Server: ativo Endereço Pool Starting: 192.168.2.2 LAN TCP / IP: Endereço IP: 192.168.2.1 IP Subnet Mask: 255.255.255.0 Figura 5.3 é uma representação gráfica do laboratório de teste de penetração com o bom configuração para cada dispositivo.

Hackerdemia Este LiveCD não é realmente a intenção de emular um servidor do mundo real -ele foi projetado para ser uma plataforma de treinamento onde várias ferramentas hacker poderia ser usado e aprendido. Semelhante ao LiveCDs De-ICE, foi desenvolvido sobre a distribuição Linux Slax e está incluído no DVD que o acompanha. Também pode ser baixado online em www. heorot.net / hackerdemia /. Figura 5.4 é um screenshot de um scan do Nmap contra o LiveCD Hackerdemia. Como podemos ver, vários serviços estão disponíveis, e podem ser atacados utilizando ferramentas


Roteador sem fio


VM Player

VM Player


192.168.2.100


disponíveis no BackTrack. Para aqueles que não estão familiarizados com Nmap, a ferramenta é provavelmente um dos aplicativos mais usados em um teste de penetração. Nmap pode digitalizar um sistema alvo e determinar quais aplicativos estão rodando no alvo, bem como o sistema operacional utilizado. Nmap também é capaz de escapar à detecção de intrusão e firewall, em alguns casos. Vamos discutir Nmap em maior detalhe no Capítulo 10. Tutoriais são incluídos em um wiki, instalado no disco Hackerdemia. Abertura um navegador Web e navegando para o endereço IP 192.168.1.123 permitirá que o estudante para começar as aulas. Os tutoriais foram criados usando o Hackerdemia servidor como um alvo, para que todos os exercícios podem ser seguidas exatamente como visto no wiki. Figura 5.5 é uma configuração de sistema do LiveCD Hackerdemia em nosso laboratório pentest utilizadas neste livro.

pWnOS Desenvolvido e mantido pela Brady Bloxham, o pWnOS Imagem de VM é um Linux distribuição com vulnerabilidades de serviços que podem ser exploradas usando scripts disponíveis no milw0rm.org e pode ser baixado (e discutido sobre) no Heorot.net fóruns. Nós usaremos o pWnOS imagem VM para encontrar vulnerabilidades e usar scripts para explorar as vulnerabilidades descobertas. Figura 5.6 é o sistema configuração do servidor pWnOS em nosso laboratório pentest todo o livro.


FIGURA 5.4 Nmap Scan de Hackerdemia LiveCD

O cenário pWnOS não é um LiveCD, mas sim, é uma imagem de máquina virtual. Figura 5.7 é um screenshot do diretório pWnOS, contendo os arquivos necessários para executar o servidor. Para iniciar o servidor pWnOS usando VMware Player, clique duas vezes no Ubuntu. vmx arquivo e VMware vai cuidar do resto. Se aparecer uma mensagem perguntando se a VMware imagem foi "Movido" ou "Copiado", selecionar copiado.

NOTA Porque o pWnOS usa DHCP para obter um endereço IP, exemplos ao longo deste livro vai mostrar pWnOS usando endereços IP diferentes.



Roteador sem fio

VM Player

VM Player


192.168.1.123

FIGURA 5.5 Hackerdemia LiveCD de configuração do sistema


Roteador sem fio

VM Player

VM Player


Figura 5.6 pWnOS de configuração do sistema

pWnOS usando DHCP


FIGURA 5.7 pWnOS Directory

Foundstone Foundstone Network Security é uma divisão da McAfee, que desenvolveu uma série da Microsoft baseada em cenários que envolvem ataques Web e SQL. A série de cenários de ir pelo nome de Hacme e pode ser baixado em www.foundstone. com.br / us / recursos-free-tools.asp. Estes cenários não são LiveCDs, mas são fornecidos como instaladores de software para servidores Windows. Existem diferentes aplicações requisitos antes de os cenários Hacme pode ser instalado.

NOTA Nós não estará usando os cenários Hacme Foundstone neste livro, por isso não vamos discutir a configuração dos servidores. Foundstone fornece informações de configuração no seus downloads, o que ajudará na criação de servidores dentro de um laboratório de testes de penetração.

Cenários 1. Hacme Travel simula um mundo real sistema de reservas online de viagens, que podem ser exploradas usando SQL e ataques a aplicações web. Requisitos de sistema mentos para instalar o cenário incluem Windows XP, o MSDE 2000 Versão A, e Microsoft. NET Framework v1.1. 2. Hacme Bank simula um mundo real empresa de serviços bancários online, o que pode ser exploradas usando SQL e ataques a aplicações web. Mínimos do sistema requisitos são o Windows. NET Framework v1.1, Microsoft IIS, ou MSDE Microsoft SQL Server 2000 e Microsoft Internet Explorer 6.0. 3. Hacme Shipping simula uma aplicação de navegação online, que pode ser explorada usando SQL, ataques de Cross Site Scripting, e aplicação inerentes falhas. Requisitos do sistema para instalar o cenário incluem Windows XP, Microsoft IIS, Adobe ColdFusion MX Server 7.0 para Windows, e MySQL (4.x ou 5.x com o modo estrito com deficiência).


4. Hacme Casino simula um casino em linha com as falhas de aplicativos inerentes. A exigência de sistema para instalar o cenário é o Windows XP. Escrito em Ruby on Rails. 5. Livros Hacme simula uma livraria on-line, com aplicação inerentes falhas. Requisitos mínimos de sistema para instalar o cenário incluem Java Development Kit (JDK) 1.4.x, e Windows XP.

Open Web Application Security Project O Open Web Application Security Project (OWASP) é uma Fundação 501c3 nãofins lucrativos organização de caridade que se concentra em segurança Web, e pode ser visitada online em www.owasp.org. Um dos projetos OWASP é WebGoat, uma aplicação Web J2EE instrucional construído com vulnerabilidades Web exploráveis. Este aplicativo é executado na maioria dos sistemas Microsoft Windows e está incluído no acompanha DVD. Figura 5.8 mostra o diretório contendo o WebGoat aplicação. WebGoat roda diretamente no sistema host e é lançado pela execução de um dos os arquivos em lotes dentro do diretório WebGoat. Figura 5.9 ilustra o sistema configuração para WebGoat em um sistema host.

AVISO WebGoat inclui vulnerabilidades que fará com que seu sistema host vulnerável a ataque e só deve ser utilizado em um laboratório fechado.

Após o arquivo de lote é lançado, é possível que o Microsoft Windows emitirá um aviso, semelhante à da Figura 5.10. Clique no Correr botão para continuar. O arquivo em lote vai lançar um servidor Web Apache dentro de uma janela de comando, como visto na Figura 5.11. A última linha na Figura 5.11 - "INFO: Inicialização do servidor em XXXXX ms " -indica que o servidor Web está em execução. Não feche esta janela; encerramento Nesta janela irá parar o servidor Web Apache e terminar WebGoat. Este janela pode ser minimizada neste momento.

FIGURA 5.8 Directory WebGoat


Diretório WebGoat

webgoat.bat

Laptop Apache Web servidor

Figura 5.9 WebGoat de configuração do sistema

FIGURA 5.10 Batch File Security Warning

Depois que o servidor Web Apache está em execução, que pode navegar em um navegador da Web para http://localhost/WebGoat/attack e log no servidor Web. O nome de usuário para WebGoat é "Guest" ea senha também é "Guest" (Sem as aspas), como visto na Figura 5.12. Após o login, somos apresentados a página inicial WebGoat, como visto na Figura 5.13.


Figura 5.11 Apache Web Server Startup

Figura 5.12 Usando WebGoat Login "Guest" / "guest"

Cenários A seguir, são categorias de vetores com base na Web ataque dentro WebGoat, cada contendo vários exercícios: ■

Qualidade de código

■

Unvalidated parâmetros

■

Controle de acesso quebrado

■

Autenticação quebrada e gerenciamento de sessão

■

Cross-site scripting (XSS)


Figura 5.13 WebGoat página inicial

■

Buffer overflows

■

As falhas de Injeção

■

Tratamento de erros imprópria

■

Armazenamento inseguro

■

Negação de serviço

■

Gerenciamento de configuração insegura

■

Serviços Web

■

AJAX segurança


WebGoat também inclui um exercício desafio final, que utiliza uma série de vetores de ataque ensinado em todo o aplicativo.

Utilizando-se alvos exploráveis Muitas vezes, o primeiro tipo de laboratório que as pessoas fazem são as que envolvem exploráveis Sistemas operacionais ou incluir aplicativos vulneráveis. Uma das razões que sistemas operacionais mais antigos se atualizado ou encerrado por causa de vulnerabilidades. Ferramentas como o Metasploit pode ser usada eficazmente contra os SOs mais velhos e sem correção e pode demonstrar a necessidade de manutenção do sistema programado para administradores de sistemas e gestão ment. Testadores de penetração avançado irá também incluir sistemas operacionais modernos pentest o laboratório como alvos, especialmente quando a notícia de um novo exploit é anunciado. Re-criar exploits, especialmente se a prova de conceito não foi lançado, é um excelente forma de desenvolver habilidades em engenharia reversa e estouros de buffer. Técnicas mais avançadas de ataque do kernel do sistema operacional, especialmente em rootkit de desenvolvimento. Engenheiros que analisam o kernel irá agora ser capaz de entender o funcionamento interno de um melhor sistema operacional. Eventualmente, aqueles que analisam kernels para exploits de segurança serão os únicos a descobrir vulnerabilidades em sistemas operacionais Sistemas Operacionais mais recentes, ganhando fama (ou notoriedade) ao longo do caminho. A maioria das falhas são escritos para as aplicações. No entanto, existem algumas façanhas projetado especificamente para atacar um sistema operacional, se é um arquivo de biblioteca, o kernel, firmware, ou como um hypervisor. Um bom repositório de rootkits podem ser encontradas em www. packetstormsecurity.org / UNIX / penetração / rootkits /, incluindo o Windows rootkits (Apesar da referência para UNIX em nome URL). Packet Storm links para rootkits para download, que podem ser dissecados e estudados em um ambiente de laboratório. Compreensão OS exploits é benéfico em análise forense, e durante o manter parte de acesso de um teste de penetração. A possibilidade de instalar um backdoor que é indetectável e mantém elevados privilégios administrativos pode ser muito benéfica para ambas hackers mal-intencionados e testadores de penetração profissional. NOTA O uso de rootkits em testes de penetração é rara, exceto em laboratórios de teste para demonstrar prova de conceitos. Embora o uso de rootkits é sugerido no teste de penetração metodologias, implementação de um rootkit em um teste de penetração profissional deve ser usado com cautela.

Eficácia dos scanners rootkit é outra área que pode ser explorado em um laboratório de testes de penetração. Compreensão da metodologia de scanners rootkit e por eles detectar (ou não conseguem detectar) rootkits é útil na análise forense e testes de penetração, especialmente quando o teste controles do sistema defensivo.

Analisando Malware -Vírus e Worms 137

Aplicações Assim como com outros sistemas operacionais, aplicações são frequentemente atualizado conforme novas vulnerabilidades são descoberto. Aprendendo a re-criar exploits de aplicações vulneráveis algumvezes mais fácil do que hacking OS, especialmente com aplicativos Open Source, uma vez que o código fonte real é obtida e mais simples de explorar. No mundo real penetração teste, mais aplicações muitas vezes precisam ser examinados para falhas de segurança; raramente pentest uma equipe obter um pedido para cortar o kernel de um sistema operacional. Se criar exploits aplicativo está além de habilidades de alguém, isso não significa eles devem coíbe de, pelo menos, entendê-los. Metasploit tem cerca de 200 exploits aplicativo, que pode ser revisto para entender como e por uma aplicação é explorável. Outra fonte é milw0rm, que é um repositório de explora inúmeras aplicações. O seguinte é um trecho da exploração Webmin, encontrada em www.milw0rm.com/exploits/2017: #! / Usr / bin / perl ($ Destino, $ port, $ filename, $ tar) = @ ARGV; $ Temp ="/..% 01 "x 40; ... minha url = $ "Http://". $ Target. ":" . $ Porta ". / Não autenticado /". $ Temp. $ Filename; $ Content = get $ url;

Se olharmos para o código de perto, podemos ver que o Webmin irá imprimir um sistema de arquivo se o URL é preenchido com 40 vezes a seguinte seqüência: "/..% 01 ". Se nós estávamos tentando entender por que este exploit funciona, veríamos que o explorar aproveita manuseio indevido URL dentro do aplicativo Webmin. Alimentando os dados do aplicativo adicional (o / .. 1% string, neste caso), nós pode forçar Webmin para exibir qualquer arquivo dentro do sistema de destino, que será demonstrado na Parte II deste livro. Com base nessas informações, podemos tentar recriá-lo manualmente contra o Webmin aplicação sem realmente usando o script. Leitura e manualmente recriar exploits podem ser úteis para aprender a criar exploits aplicação também. Milw0rm tem muitos exemplos de controle remoto e exploits locais, incluindo estouros de buffer, negação de serviço, e shellcodes.

Análise de malware -Vírus e worms O uso de técnicas avançadas de desenvolvimento de malware está em ascensão -conforme McAfee, o número de malware única binários entre novembro de 2007 e Dezembro 2008 cresceu de menos de 4 milhões para mais de 16 milhões (McAfee Threat Center, 2009). A maior parte deste crescimento é o resultado dos esforços de embalagem por malware autores para evitar a detecção por aplicações de detecção de vírus, embora o aumento uso de software reembalagem distorcer os números apresentados no estudo da McAfee e pode significar que o número de binários malware real na natureza não


aumentou dramaticamente que, ela indica que os desenvolvedores estão se tornando mais qualificados em sua gestão da mudança e métodos de implantação. Análise de malware em um laboratório é significativamente diferente do sistema e de aplicativos testes de penetração. O propósito de "Maliciosos software "é contrário à finalidade de testes de penetração, muitas vezes os autores de malware design seu software para rampage através de uma rede, indiferente ao que o dano ocorre ao longo do caminho. Pentest engenheiros vão tentar descobrir explora de forma controlada e raramente intenção de causar danos irreparáveis. Compreender a natureza destrutiva de técnicas de malware e corrente usada para injetar malware em sistemas corporativos é um habilidade vital para testadores de penetração profissional; ser capaz de fazer engenharia reversa malware acrescenta a esta habilidade, fornecendo a pentest engenheiro com uma maior compreensão do interior trabalhando desta ameaça cada vez maior.

Criação de um Laboratório

Criação de um laboratório para malware é diferente do que aquilo que já descrevi. A ameaça de malware atacando outros sistemas é uma certeza e compromisso total de todos os sistemas no laboratório deve ser esperado. Para complicar, alguns malwares podem detectar a uso de máquinas virtuais, a criação de trabalho adicional para quem a criação de um pentest laboratório. Muitas versões do malware são desenvolvidos para funcionar como parte de um zumbi rede, também conhecido como botnet. Sistemas infectados com malware botnet vai tentar se conectar a um servidor remoto e ouvir as instruções, se é para gerar spam, participar de um ataque de negação de serviço, ou colheita sensíveis informações fora do sistema host, tais como dados de cartão de crédito, login e senhas, ou keystrokes. Análise de malware em um laboratório requer medidas adicionais de segurança além daqueles já discutidos no Capítulo 4. Análise de malware também requer um conjunto diferente de ferramentas. Vamos discutir o uso de honeypots, que tipos existem, e como a colheita malware com eles. Nós também discutir quais são os instrumentos necessários para analisar adequadamente malware coletados. AVISO Os autores de malware intencionalmente escrever um código que tenta evitar a reverter engenharia ou de detecção, e se espalhar por toda a rede de uma forma muito agressiva maneira. O uso de malware em um laboratório exige que as medidas de segurança máxima; falta de implementar a segurança adequada pode resultar no comprometimento de sistemas externos, que podem resultar em uma investigação do governo ou ações judiciais.

Virtual Labs versus Nonvirtual Como mencionado, alguns malware detecta o uso da máquina virtual mais comum aplicações, incluindo VMware e Xen, entre outros. Quando detecta malware o uso de uma máquina virtual, ele pode agir de forma inócua e não fazer nada malicioso. Desde que as máquinas virtuais são usados extensivamente em análise de malware, os autores de malware


projetar seus malware a ser detectado, prevenindo análise para o maior tempo possível, alargando assim a vida do malware. Máquinas virtuais são usados durante a análise de malware por vários motivos -o mais importante é o tempo. Ser capaz de analisar as atividades de malware no uma máquina virtual e, em seguida, retornar a máquina virtual a um estado puro quase que imediatamente permite aos analistas examinar malware mais rápido. Se os detalhes do o malware é liberado para os fornecedores de segurança, tais como software de detecção de vírus fabricantes, rápido turn-around da análise de malware pode impedir que milhares de sistemas de ser infectado -o mais malware é deixado não analisada, maior o número de sistemas comprometidos em todo o mundo.

Notes from the Underground ... Detecção de Máquina Virtual Detecção de máquinas virtuais por malware está diminuindo. Muitas empresas estão usando hypervisor soluções para economizar dinheiro e estão movendo seus servidores em empresa virtual aplicações máquina. Malware que detecta o uso de máquinas virtuais pode ignorar sistemas exploráveis e legítimo. Como a virtualização é cada vez mais utilizado na empresa ambiente, malware tentará detectar o seu uso cada vez menos.

Um laboratório que faz análise de malware precisa ter tanto virtuais como nonvirtual sistemas para conduzir a análise. Embora possa ser tentador analisar apenas malware que não olha para as máquinas virtuais, os mais avançados (e mais interessante) malware vai exigir um laboratório de teste mais robusto penetração. Evitando avançados malware irá limitar a compreensão do ambiente atual malware e ameaças.

Criar um ambiente controlado Alvos mais malware sistemas Microsoft Windows. Nos casos em que as máquinas virtuais pode ser usado, o sistema operacional host deve ser algo diferente do Microsoft Windows. O Xen hypervisor, disponível em www.xen.org, é executado no sistema operacional Linux. Figura 5.14 ilustra uma possível configuração de rede para um laboratório de malware utilizando Xen. Se um laptop é usado, toda a comunicação sem fio deve estar desativado. A menos que um router é absolutamente necessário (por DHCP, ou para convencer o Microsoft imagem do Windows que tem conectividade com a Internet), o sistema host não deve ser conectado a qualquer dispositivo de rede. O pentest laboratório não deve ter nenhuma conectividade com a Internet ou rede externa outros; qualquer roteador usado em um pentest laboratório devem ser isolados e desconectado de sistemas externos. NOTA O uso do Microsoft Windows no Xen hypervisor pode não ser permitido, de acordo a um acordo de licença da Microsoft. Microsoft Windows em qualquer pentest laboratório deve ser utilizado de acordo com a licença e da lei.


Xen hypervisor

Internet Roteador com fio Laptop Microsoft Windows

Figura 5.14 Lab malware utilizando Xen Hypervisor

No caso raro que o malware para outro sistema operacional precisa ser analisado, a configuração em Figura 5.14 pode ser usado por trocar o Microsoft Windows, juntamente com imagem o sistema operacional. Na maioria dos casos, o malware vai querer comprometer outros sistemas no rede; adicionais imagens virtuais podem ser adicionados conforme necessário, incluindo um honeypot Colheita Malware se técnicas de propagação precisam ser estudados. A maneira mais rápida de malware colheita é ligando um honeypot diretamente para a Internet. Figura 5.15 ilustra uma configuração de rede que permite maliciosos sistemas na Internet para ver (e ataque) um honeypot.

DMZ: ativo DMZ Host endereço IP:
Internet Roteador com fio

Linux OS

Laptop Nepenthes honeypot

Figura 5.15 Configuração de rede utilizando o Honeypot Nepenthes


Figura 5.16 Lista de Módulos Nepenthes

Uma vez que configurar a rede como visto na Figura 5.15, qualquer ataque contra o Voltados para a Internet o endereço IP atribuído ao roteador será encaminhado para a Nepenthes honeypot. Isto permite que a colheita Nepenthes malware diretamente contra ataques na Internet. Nepenthes emula um servidor Microsoft Windows e irá responder às solicitações de uma forma que imita serviços do Windows. Figura 5.16 é uma lista de módulos que respostas de artesanato conexão semelhante ao serviço que eles estão destinados a imitar bem como receber os arquivos enviados ao servidor, o que poupa-los para análise. Se realizar um scan do Nmap contra o honeypot Nepenthes, podemos ver que inúmeras aplicações estão disponíveis, como visto na Figura 5.17. Se analisado em maior detalhe, eles respondem como se fossem aplicativos do Microsoft Windows. No entanto, se um scan do Nmap configurado para detectar o alvo OS é lançado, o Nmap irá determinar com precisão que o alvo é um sistema Linux, já que as aplicações se não artesanato pacotes TCP, que ainda é o trabalho do sistema operacional. Para demonstrar a capacidade de Nepenthes a aceitar ataques maliciosos em um cofre forma, podemos lançar Metasploit contra os serviços executados em Nepenthes, que registra todas as tentativas de ataque. Figura 5.18 é uma imagem do Metasploit é "Autopwn" script atacando o servidor Nepenthes. Figura 5.19 é uma captura de tela do servidor Nepenthes gravação do Metasploit ataque. Quando um arquivo é empurrado para o servidor (tipicamente shellcode), salva a Nepenthes arquivo e cria um hash MD5 do binário, usando o valor de hash MD5 que o binário nome. Na Figura 5.19, vemos que, pelo menos, três diferentes. Bin arquivos foram salvos no var / hexdumps pasta. Estes três binários foram usados por Metasploit em uma tentativa de criar um shell reverso que ligaria de volta para a aplicação Metasploit.


Figura 5.17 Resultados Nmap Scan de Nepenthes Honeypot

Uma vez que a captura de um binário, podemos começar a nossa análise no laboratório pentest. Utilização Metasploit nos permite assistir Nepenthes em ação, recolhendo malware numerosas arquivos; se Nepenthes é conectado a uma rede doméstica, a colheita pode malware levar dias ou semanas antes de qualquer coisa é capturado. Em grandes redes corporativas, Nepenthes pode ser bastante ativa. É importante ter um sistema capaz de lidar o volume relativo à sua localização. Um honeypot é inútil se o disco rígido está cheio e o servidor não pode capturar as últimas binários.

Análise da Informação Se navegue até o diretório que armazena arquivos capturados, como visto na Figura 5.20, que pode ver que Nepenthes preso pacotes numerosos, que teria fornecido uma reverse conexão ou backdoor a partir do servidor Nepenthes volta ao ataque sistema, tinha serviços Nepenthes 'realmente ser explorável. Uma vez que a captura código malicioso, podemos executar o software em nosso laboratório, e analisar o que acontece quando está em um sistema Windows real.


Figura 5.18 Metasploit Ataque contra Nepenthes

Há um par de ferramentas que podemos utilizar para entender o que o malware foi projetado para fazer. O primeiro é Wireshark, que irá capturar toda a rede comunicação gerada pelo malware. Nós poderíamos também fazer algumas inverter engenharia no malware para descobrir informações adicionais, tais como criptografia, comunicação, propagação e actualização de métodos.

AVISO Mídia utilizada para mover malware a partir de um sistema para outro deve ser usado apenas dentro do laboratório de malware ou destruídos imediatamente após o uso. Comunicação social nunca deverá ser trazido em outra rede -métodos de infecção media são utilizados por malware são muito eficazes.

Nós não vamos demonstrar como analisar malware neste livro, mas a capacidade de analisar malware é bastante benéfico em um teste de penetração profissional desde pentest engenheiros pode precisar criar código que imita malware para alcançar o sucesso em um Pentest projeto. Ser capaz de reproduzir um ataque em um laboratório de teste do mundo real usando malware (ou Metasploit) também pode ser uma ferramenta eficaz para explicar a alta gestão das ameaças para os sistemas corporativos.


FIGURA 5,19 Nepenthes Log de Ataques

Figura 5.20 Malware capturado a partir do Metasploit "Autopwn" Ataque

OUTRAS IDÉIAS TARGET Laboratórios de teste de penetração também pode ser usado para participar de desafios disponíveis no Internet e em conferências de segurança. Embora estes desafios não podem precisão refletem situações do mundo real, eles podem expandir as habilidades do pentest engenheiro.

Outras idéias Target 145

Um dos mais populares (ou newsworthy) desafios são Capture the Flag (CTF) eventos, visto em conferências de segurança ao redor do mundo. Estes eventos servem para hackers de diferentes habilidades e estão se tornando mais freqüentes. Os binários usados em eventos CTF muitas vezes pode ser baixado e re-criado em um laboratório para a prática e experiência. Existem sites de segurança com foco na Web, que oferecem desafios para download, incluindo os que envolvem a engenharia reversa, programação e dados de craqueamento esquemas de proteção. Esses sites também podem fornecer Web-based desafios que demonstram bem conhecidas falhas de projeto web. Embora os desafios com base na Web não pode ser replicado em um laboratório, eles permitem que o engenheiro para entender o que os riscos pode estar presente e detectável em um teste de penetração profissional.

Eventos CTF O mais conhecido evento CTF é realizada a cada ano em Nevada na DefCon, que requer participantes para ganhar um desafio de qualificação em todo o mundo. Habilidades necessárias para participar no CTF DefCon incluem engenharia reversa e explorar scripting em um mínimo. Cada ano, as imagens do evento servidor ter sido liberado para a geral público, para que outros possam analisar as aplicações explorável utilizada no evento. Visto que a participação no evento DefCon é tão competitivo, o conjunto de habilidades necessárias para ganhar em DefCon é significativo. Recentemente, DefCon incluiu um evento de nível de entrada CTF, atualmente intitulado o Open Capture the Flag (oCTF), que fornece acesso a todos os -nenhuma qualificação evento existe para oCTF. As habilidades necessárias para comprometer os servidores não são oCTF tão avançadas como as necessárias para comprometer os servidores CTF da DefCon principal CTF evento e são uma ótima maneira de aprender sobre hacking de aplicativos e sistema operacional. CTF eventos menores estão começando a aparecer em todo o mundo, incluindo eventos intercolegiais. Abaixo os links relacionados a diversos eventos realizados em todo CTF o mundo -downloads das imagens do servidor podem ser obtidas nos seguintes sites, Nops-R-Us repositório(se de disponível): DefCon CTF evento, os binários, e walk-through ou nos fóruns Heorot.net tutoriais ■http://nopsr.us/ Universidade da Califórnia, Santa Barbara (USCB) Internacional CTF ■www.cs.ucsb.edu/ ~ vigna / CTF / Grupo DC949 -anfitrião do evento oCTF na DefCon ■www.dc949.org/ Chaos Computer Club e eventos em torno CTF ■http://ctf.hcesperer.org/

Web-Based Desafios Web sites que fornecem existem numerosos espectadores desafios hacking. Alguns dos desafios estão disponíveis para download e pode ser usado em um laboratório pentest -outros são inteiramente


on-line. Os desafios online tendem a ser cenários baseados na Web, enquanto o outro desafios foco em engenharia reversa, estouros de buffer, e os dados de superação esquemas de proteção, entre outros. Algumas sugestões de sites para visitar incluem o seguinte: Hack Este Site! -Este site inclui a aplicação, Web, programação e desafios ■www.hackthissite.org/ Crackmes.de -Este site fornece inúmeros engenharia reversa desafios, projetado para ensinar como quebrar esquemas de proteção de dados. ■http://crackmes.de/ Hackers HellBound -Este site inclui a engenharia, Web reverso desafios, e desafios de programação cronometrada ■www.hellboundhackers.org Try2Hack -Esse site oferece vários desafios baseados na Web ■www.try2hack.nl/

Esta lista não é de forma abrangente, mas os sites oferecem diferentes desafios para qualquer nível de habilidade. Os desafios podem não refletir exemplos do mundo real (Especialmente os desafios Web-based), mas ainda pode beneficiar qualquer pessoa interessada em melhorar suas habilidades como um testador de penetração profissional.

Notes from the Underground ... Cracking Protecção de Dados Há uma demanda grande na cena underground hacker para pessoas que podem analisar e crack proteção de dados esquemas. A maior aplicação desta habilidade é contra software métodos de proteção. Embora possa haver nenhuma razão prática para aprender a crack métodos de proteção de software comercial, sendo capaz de fazê-lo requer habilidade no reverso engenharia, que tem aplicação prática em testes de penetração profissional.

Vulnerabilidade Anúncios Novas vulnerabilidades são anunciados diariamente e pode incluir código de verificação de conceito também. Em ambos os casos, anúncios vulnerabilidade fornecer ao profissional verificador da penetração uma oportunidade para expandir os seus conhecimentos por qualquer re-criação o exploit usando a prova de conceito, ou tentando cortar o vulnerável aplicação sem nada mais do que o conhecimento de que o pedido tenha sido explorado. As provas de conceitos muitas vezes são apenas incluídas em anúncios vulnerabilidade quando o desenvolvedor de aplicações tem sido capaz de criar e colocar um patch para

Sumário 147

seus usuários. Para recriar as vulnerabilidades, uma versão mais recente do aplicativo deve ser obtida desde que os pesquisadores, muitas vezes tentam dar tempo suficiente para desenvolvedores corrigir o problema. No caso de novas vulnerabilidades visando aplicações que fazem não ter um patch, re-criando explorar o é muito mais difícil -pesquisadores normalmente, apenas descrevem a vulnerabilidade a um nível elevado, omitindo detalhes que permitir que outros a re-criar a explorar. Confirmação de que existe um exploit é normalmente anunciado pelo desenvolvedor da aplicação ou por um terceiro, que foi capaz de re-criar a explorar, trabalhando diretamente com o pesquisador. Em alguns casos, anúncios vulnerabilidade conter código que simplesmente detecta ou não um sistema está vulnerável à exploração. Se o código não é compilado, ele pode ser usado para diminuir o domínio da aplicação vulnerável é explorável. Em alguns casos, explora serão soltos na natureza, que podem ser examinados para entender a vulnerabilidade melhor.

RESUMO A melhor escolha de sistemas de aprender sobre testes de penetração seria do mundo real servidores. Infelizmente, as leis, a ética, dinheiro ou tempo de impedir que a maioria das pessoas a partir de do mundo real usando servidores como alvos de hackers. A próxima melhor opção seria sistemas turn-key. Se a aprendizagem de técnicas mais avançadas é o objetivo, então kernels e aplicações são os alvos de escolha. A maneira mais segura de aprender para todos estes cenários é a utilização de um laboratório de teste, se é um laboratório pessoal ou uma empresa laboratório de produção. Turn-key cenários geralmente pode ser rapidamente colocado em um laboratório, utilizando a virtualização ou LiveCDs. Isto vai poupar tempo e reduzir a quantidade de hardware necessário em um laboratório. Eles oferecem desafios que variam em sua complexidade e habilidade necessária, e eles tentam reproduzir no mundo real vulnerabilidades. Outros alvos, incluindo malware pode ser utilizado em um laboratório de teste de penetração. Colheita código malicioso na natureza apresenta riscos adicionais, que precisam ser tratadas para prevenir a infecção do sistema em outras redes, incluindo as relativas a Internet. Os autores de malware usam uma variedade de técnicas para evitar a detecção e análise e pode exigir servidores nonvirtualized no laboratório. Os exemplos de redes neste capítulo será usada em todo o resto do este livro e os vídeos contidos no DVD que o acompanha. Embora seja possível a criação de laboratórios trabalhando configurado de forma diferente do que os ilustrados neste capítulo, não vamos incluir outras arquiteturas para evitar confusão. No entanto, se outros projetos são usados com sucesso, eu gostaria de pedir que ser postado nos fóruns Heorot.net para o benefício de outras pessoas que possam querer tentar alternativo configurações. Também é sugerido que os sistemas mais velhos ser evitada para prevenir a compatibilidade problemas de desempenho. Estaremos realizando um pouco de memória e CPU-intensivo ataques em capítulos posteriores. Tendo modernos equipamentos irão melhorar significativamente a experiência ao replicar os exemplos neste livro.


As soluções da FAST TRACK Turn-Key Cenários versus Real-World Targets ■

Do mundo real usando servidores como um alvo de teste é arriscado e é difícil de obter.

■

Laboratórios de produção dentro das corporações pode ser usado como um laboratório pentest sob a condições adequadas.

Turn-Key Cenários ■

Turn-key sistemas oferecem alvos segura dentro de um laboratório para a prática pentest contra.

■

Usando LiveCDs em um laboratório pentest pode economizar tempo, especialmente se um ataque falhas o sistema. Turn-key cenários incluem muitas vezes bem conhecidas vulnerabilidades e imitar real Servidores do Mundo.

■

■

Alguns sistemas turn-key tornar o sistema host vulnerável ao ataque e deve apenas ser utilizado em uma rede fechada.

Usando Alvos Explorável ■ ■ ■

Sistemas operacionais podem ser usados para analisar e replicar rootkits. Hacks aplicações são necessárias mais de OS hacks. Análise de exploits disponíveis podem auxiliar na compreensão de como a nova embarcação exploits.

Analisando Malware -Vírus e Worms ■ ■ ■

Laboratórios de malware exigem proteção adicional, além outros laboratórios. Comprometimento total de todos os sistemas dentro de um laboratório de malware deve ser esperado. Malware vai tentar se comunicar com sistemas externos; malware laboratórios não deverá ter conectividade com redes externas, especialmente os Internet.

■

Malware pode detectar o uso de software de virtualização -o uso de nonvirtual sistemas podem ser necessários no laboratório.

■

Mais malware alvos SOs Microsoft Windows. Honeypots deve estar em uma sistema host que é de um sistema operacional diferente, para adicionar proteção extra contra host exploração.

Perguntas Frequentes 149

Outras idéias Target ■

■

CTF eventos são ótimas maneiras de aprender e usar a engenharia reversa e aplicação habilidades de exploração em um ambiente seguro. CTF eventos são realizados em todo o mundo, e que muitas vezes fornecem imagens do servidor ou binários usados em o evento para o público. Web-based desafios não podem refletir no mundo real as vulnerabilidades, mas pode melhorar as habilidades de todos os interessados em testes de penetração.


Como posso me tornar um PenTester bom?

A:

Surpreendentemente, eu recebo essa pergunta muito. Conforme discutido neste capítulo, há são um monte de obstáculos com aprender a hack profissionalmente. A capacidade de usar ferramentas de hacking é apenas parte da equação, ea criação de um laboratório é um começo. Contudo, a prática eo uso de uma metodologia é essencial. Criação de um laboratório vai facilitar prática, discutir a metodologia no Capítulo 6. Qual é aa senha devamos root para os desafios DE-ICE?

Q: A:

Parte do desafio é descobrir a raiz (ou qualquer usuário), usando diferentes ferramentas de hacking.

Q:

Por que não há qualquer pentest LiveCDs com o sistema operacional Windows sobre eles? Licenciamento. Distribuições Linux estão licenciados sob uma muito mais flexível

A:

licença de software Microsoft Windows. Q: A:

Estou tendo problemas para obter um dos cenários para rodar no meu laboratório. Como fazer Corrigi-lo? A melhor sugestão é visitar os desenvolvedores cenário e olhar para fóruns que discutem a solução de problemas.

Q:

Uma das ferramentas no BackTrack não está funcionando do jeito que é suposto. Como faço para corrigir isso?

A:

A melhor sugestão é visitar a desenvolvedores de ferramentas e procure os fóruns que discutir solução de problemas.

Q:

Eu tenho computadores mais antigos no meu laboratório, e eles não podem executar os cenários incluídos neste capítulo. Como faço para corrigir isso? A melhor sugestão é visitar os desenvolvedores cenário e olhar para fóruns que discutem a solução de problemas. . . ou comprar novos equipamentos.

A: Q: A:

Eu tenho que usar um roteador no meu laboratório, embora seus exemplos mostram um em uso? Os exemplos dados neste capítulo são as configurações de rede usado no exemplos ao longo deste livro. Redes que não correspondem aos do livro


Q:

A:

configurações de rede podem ainda funcionam. No entanto, não há garantias são dadas. Em maioria dos casos, o uso de um roteador é simplesmente fornecer um protocolo de roteamento para o rede Eu olhei e atender para alguns as solicitações dos scripts DHCP. na exploração e na Metasploit milw0rm, e eu não consigo entender o que eles fazem -Eu não tenho as habilidades de programação de compreender a sintaxe. Agora é um bom momento para aprender a programação, o que ajuda não só no compreensão scripts exploração, mas também acelerar o teste de penetração projeto por ataques a automatização.

Q:

Eu rachado esquema de um software de proteção de dados, e eu preciso saber para onde pós o método.

A:

Falar com um advogado -eles serão capazes de lhe fornecer informações sobre o que fazer com o seu método (que pode ser imediatamente esquecê-la e destruir todos os traços de suas atividades. . . ou não).

Expandir suas habilidades Quer saber sobre criação e uso de alvos pentest em seu laboratório? O exercícios seguintes destinam-se a fornecê-lo com conhecimento adicional e habilidades, para que você possa entender melhor este tema. Use o seu laboratório para realizar a seguintes exercícios.

Exercício 5.1 Usando Turn-Key Cenários em um pentest Lab 1.

Usando o software VMware baixado e instalado no Capítulo 4, executar todos os cenários incluídos no DVD que acompanha usando a configuração de rede e lançar métodos descritos neste capítulo, incluindo o seguinte: ■De-ICE LiveCD 1,100 ■

De-ICE LiveCD 1,110

■

De-ICE LiveCD 2,100 O LiveCD Hackerdemia

■ ■ ■ ■

2.

pWnOS WebGoat BackTrack

Realizar um scan do Nmap em cada destino do servidor BackTrack para verificar conectividade. Imprimir os resultados.

Referências 151

Exercício 5.2 Usando Turn-Key Cenários em um pentest Lab 1.

Definir as seguintes vulnerabilidades e exploits: ■ ■

Cross-site scripting (XSS) Buffer overflows

■

As falhas de Injeção

■

Negação de serviço Spoofing

■ ■ ■

Application Programming Interface (API) enganchando Rootkit

■

BotNet

■

Ataques de força bruta Minhoca

■ ■ ■

Vírus Engenharia reversa

Referências McAfee Threat Center. (2009). 2009 previsões ameaça relatório. Obtido em linha em http://www. mcafee.com/us/local_content/reports/2009_threat_predictions_report.pdf Mertvago, P. (1995). O dicionário Russo-Inglês comparativa de provérbios russos e provérbios. New York: Livros Hippocrene.


CAPÍTULO

Metodologias

6

SOLUÇÕES NESTE CAPÍTULO Body of Knowledge Project Management ............................................. ........... 154 Informações do Sistema Quadro de Avaliação de Segurança .......................................... 166 Open Source Security Manual Metodologia de Testes ........................................... 171

INTRODUÇÃO Дело не в споре, а в сговоре. -Provérbio russo: "É não disputa, mas o acordo que importa. " (Mertvago, 1995)

Bem-vindo à parte teórica do livro. A maioria dos outros capítulos se concentrar em atividades hands-on, mas este capítulo é toda a teoria sobre como conduzir uma penetração teste. Compreender a teoria por trás da metodologia irá melhorar a chance de concluir com sucesso um projeto de teste de penetração. Nós estaremos olhando para três diferentes metodologias e aplicá-los especificamente para testes de penetração. O Project Management Body of Knowledge (PMBOK) é útil na realização de qualquer projeto, mas está escrito em um nível elevado e, provavelmente, o menor dos três metodologias voltadas para testes de penetração especificamente. Familiarização com o PMBOK nos dará uma base para comparar as outras duas metodologias contra: o Information System Security Assessment Framework (ISSAF) eo Open Source Security Testing Metodologia Manual (OSSTMM). Mesmo que os argumentos podem ser feitas para usar outras metodologias (incluindo um dos meus favoritos -Agile Project Management), estas três metodologias têm o maior apoio dentro da comunidade de testes de penetração. Que é para não dizer que eles são sempre utilizados em um teste de penetração profissional. Porque o campo de testes de penetração profissional ainda é uma indústria relativamente nova pentest, muitos projetos são conduzidos ad hoc, sem qualquer estrutura formal ou metodologia.


154 CAPÍTULO 6 Metodologias

Infelizmente, este pode promover a falsos positivos e falsos negativos durante a Pentest, colocando os clientes em risco. Projetos de teste de penetração precisam ser desenvolvidos usando eficaz e reproduzível processos de melhorias a serem feitas, os objetivos de negócio a serem cumpridas qualidade, a ser melhorada, rentabilidade e de ser aumentada. Testes de penetração profissional não é mais um ou dois hackers qualificados aplicando seus conhecimentos contra um cliente da rede -que tem crescido em uma indústria, e foi apoiado por uma formação programas, padronizados por meio de certificações, e ensinou em educação instituições. Todas as metodologias têm seus pontos fracos e pontos fortes -os três discutidos neste capítulo não são exceções. Qual a metodologia a usar em um Pentest irá variar, dependendo do escopo do projeto, pontos fortes e fraquezas dos membros da equipe de projeto e complexidade da rede do cliente ou sistemas.

Ferramentas e Armadilhas ... Quadro versus Metodologia -O que há num nome? Existem algumas diferenças significativas entre um quadro e uma metodologia: A quadro se concentra principalmente sobre os processos necessários para alcançar resultados, enquanto uma metodologia engloba processos, atividades e tarefas. Dos três documentos discutidos neste capítulo, apenas o OSSTMM pode realmente ser considerada uma metodologia. Este capítulo não incidirá sobre as diferenças semânticas entre um quadro e uma metodologia ele vai se concentrar no que atualmente está em uso para conduzir testes de penetração, por isso os leitores podem implementar e adotar qualquer procedimento é melhor para seus clientes, independentemente de rótulos.

CORPO DO PROJETO DE GESTÃO DO CONHECIMENTO Quando a maioria das pessoas pensa em gerenciamento de projetos, eles tipicamente pensar civil projetos de engenharia. Não é incomum para evocar imagens de estradas, barragens, pontes, e outros grandes projetos, quando alguém menciona gerenciamento de projetos. Depois civil engenharia, manufatura vem à mente -correias transportadoras revestidas com widgets, encher as caixas a serem enviados para todo o mundo. Para aqueles que lidaram com computadores e Tecnologia da Informação, o pensamento de gerenciamento de projeto transforma para arquiteturas de programação ou de rede. Palavras temidas, como modelo de Cachoeira e modelo Espiral, quando são convocados gerenciamento de projetos é mencionado. Raramente, porém, são as palavras "Projeto de gestão "e "A penetração teste "trouxe juntos. A realização de um teste de penetração, sem qualquer planejamento é equivalente a um desastre. A processo repetível, juntamente com todos os documentos tipicamente associados com o projeto

Body of Knowledge Project Management 155

gestão, pode melhorar significativamente a qualidade de um teste de penetração -para não mencionar manter os custos baixos e melhorando lucros globais. Esse é o apelo de usar o PMBOK do Project Management Institute (PMI).


Gestão de projeto não é apenas para Gerentes de Projeto Definições dentro desta seção do PMBOK são intencionalmente breve e pretende ajudar engenheiros compreender a complexidade da gestão de projetos eo papel do engenheiro dentro do projeto. Apesar de cada processo pode ser dividido em maior granularidade, o alto nível explicações dadas neste capítulo são suficientes para nossa discussão. Projeto gestão é uma profissão que exige um nível profundo de conhecimento e, como engenheiros, tempo de treinamento deve ser dedicada à compreensão não só tarefas técnicas, mas também compreensão de como essas tarefas se encaixam no projeto como um todo.

Introdução ao PMBOK Publicado pela primeira vez pelo PMI em 1987, o PMBOK tentativas para padronizar projeto práticas de gestão e informação. Embora vamos discutir os diferentes processos dentro de um projeto como definido pelo PMBOK, esta seção não se destina apenas para os gerentes de projeto, é realmente escrito para engenheiros de teste de penetração, de modo eles podem se familiarizar com todo o projeto teste de penetração. Para o projeto gestores que estão interessados em saber como o PMBOK pode ser aplicado a testes de penetração profissional, os processos são discutidas aqui a um nível elevado, mas também discutido em maiores detalhes nos capítulos ao longo deste livro. O PMBOK quebra o ciclo de vida do projeto em cinco grupos diferentes: Iniciando Processos, Processos de Planejamento, Execução de Processos, Processos de Encerramento, e Monitoramento e Controle de Processos. Vamos nos concentrar em cada um, separadamente, nesta seção. Entender que esses não são fases dentro de um projeto -sim uma coleção de atividades que podem ser repetitivo, dependendo do estado e do estado de o projeto.

Grupo de processos de iniciação No grupo de processos de iniciação, estamos a tentar obter a aprovação para iniciar o projeto. Projetos normalmente são criados para atender alguma necessidade de negócio. No caso de penetração testes, a necessidade é muitas vezes para identificar a postura de segurança de um sistema ou rede. Uma vez a postura de segurança é conhecido, a empresa pode tomar decisões de gestão sobre qualquer vulnerabilidade identificada. As decisões podem ser corrigir a vulnerabilidade, mitigação a ameaça, a aceitar as conseqüências, ou transferir o risco (como outsourcing a aplicação / sistema para um terceiro ou contratação para a administração).


TIP Engenheiros: Não é o trabalho do verificador da penetração profissional para decidir como lidar com qualquer vulnerabilidade identificada ou explorar. Essa é uma decisão de negócio baseado em risco práticas de gestão. Tenha cuidado ao discutir resultados com um cliente -sugestões podem ser feita como como para eliminar, mitigar ou risco de transferência, mas não devemos presumir dizer clientes o que fazer. Isso é o que a equipe de gerenciamento do cliente é pago para fazer -fazer decisões.

Figura 6.1 fornece os dois processos que ocorrem no âmbito do Processo de Iniciação grupo. Embora possa não parecer muito, esta fase envolve uma série de reuniões, externo para a equipe do projeto. Porque o teste de penetração é um empreendimento caro, o cliente precisa saber exatamente o que está a ser incluídas (e excluídas). O projeto gerente necessidade de aperfeiçoar o projeto e identificar aqueles que têm uma participação no sucesso do projeto. Não é incomum para os dois processos dentro do grupo de processos de iniciação para levar semanas, meses ou mesmo anos. Também é possível para projetos muito grandes para serem dividido em projetos menores, caso em que haveria múltiplos projetos charters e listas distintas das partes interessadas. Apesar de grandes projetos seria boas-vindas de negócios, testes de penetração são eventos separados que funcionam frequentemente por muito vezes limitado. Por causa disso, só vamos discutir testes de penetração como um único projeto com uma única fase. Então, qual é nos processos no âmbito do Processo de Iniciação grupo (Project Management Institute [PMI], 2008)? ■

Desenvolver Carta do Projeto: A Carta do Projeto autoriza o lançamento do projeto e é usado para definir o escopo do projeto (que eventualmente decompõe-se em tarefas individuais realizadas por engenheiros). A bem escrito Carta projeto vai incorporar a Declaração de Trabalho (SOW), o contrato, e padrões da indústria para que o projeto atende às necessidades de negócios de todos os partes interessadas, dando-lhe a maior chance de sucesso.

■

Identificar as partes interessadas: Testes de Penetração afetar um grande número de indivíduos, incluindo os proprietários de sistemas, administradores de rede, engenheiros de segurança, gestão, chefes de departamento, e muito mais. Todos os indivíduos afetados pela

Grupo de processos de iniciação

Desenvolver Project Charter Identificar Stakeholders

FIGURA 6.1 Grupo de processos de iniciação


Pentest precisam ser identificados para que a comunicação entre as partes interessadas podem ser eficaz. Isso não significa que cada participante receberá todas as informações que ocorre dentro de um pentest; nem significa que cada stakeholder tem um voz igual. Identificação das partes interessadas simplesmente permite que o gerente de projeto sabe que precisa estar no loop e quando eles devem ser incluídos no comunicações.

Grupo de processos de planejamento

Os processos de planejamento, como mostrado na figura 6.2 são métodos de obtenção de informações necessárias para concluir com sucesso um projeto. No âmbito de um teste de penetração, o gerente do projeto precisa saber quanto tempo o projeto pode tomar, o tamanho da equipe do projeto, o custo estimado do projeto, que recursos são necessários, e muito mais. Os processos de planejamento pode ajudar a definir o projeto para

Grupo de processos de planejamento

Desenvolver Plano de Gerenciamento de Projetos Coletar Requisitos Definir Escopo Criar WBS Definir as atividades Atividades seqüência

Atividade de Recursos estimativa Atividade Durações estimativa Desenvolver Schedule Custos estimativa Determine Orçamento Qualidade plano Desenvolver Plano de Resouce Humanos Plano de Comunicação Plano de Gestão de Risco Identificar os riscos Realizar a análise qualitativa de riscos Execute Análise Quantitativa de Riscos Risco Responses plano Compras plano

FIGURA 6.2 Grupo de processos de planejamento


um nível fino de granularidade. No entanto, durante o curso do projeto, questões que pode atrasar a conclusão do projeto ou subir os custos serão descobertos, por constantemente reavaliando o projeto e utilizando os processos de planejamento, um projeto gerente pode ajustar constantemente recursos e pessoal, para manter o projeto em prazo e do orçamento. O grupo de Processo de Planejamento tem os seguintes processos (PMI, 2008): ■

Desenvolver Plano de Gerenciamento de Projetos: O Projeto Plano de Gestão é o soma total de todos os outros processos dentro deste grupo. Uma vez que todos os outros processos são inicialmente concluído, o gerente do projeto terá uma melhor compreensão de como o projeto irá progredir em termos de tempo, necessário ferramentas / equipamentos, gerenciamento de mudanças, e como todo o trabalho será realizado.

■

Coletar Requisitos: Este processo converte a Carta Project para um exigências de documentos, que envolve a tradução em objetivos de negócios exigências técnicas a serem cumpridas pelos engenheiros. Limitações também devem ser coletados, como "Não Ataques de negação de serviço ".

■

Definir Escopo: Este processo deve resultar na criação de uma declaração do escopo, que define os objectivos, requisitos, limites, pressupostos e resultados de um projeto.

■

Criar Estrutura Analítica (WBS): O WBS identifica o real trabalho precisa ser feito para completar o projeto e fornece detalhes suficientes que os engenheiros sabem o trabalho que precisa fazer. A WBS não é uma programação; No entanto, ele é usado para definir claramente as atividades e identificar os conflitos que possam existem (como concorrentes precisa usar ferramentas). Definir Atividades: Utilizando as informações derivadas de o escopo do projeto, as atividades dentro do projeto podem ser identificados e marcos estabelecidos. Marcos podem ser grandes eventos, como na conclusão da coleta de documentos, conclusão do pentest real, e depois do final write-up saiu a porta. Marcos que são muito granular (por exemplo, depois de Informação Coleta for concluída, após a identificação da vulnerabilidade está completa, e assim on) tendem a perder o significado, especialmente porque o pentest real raramente é geralmente de curta duração.

■

■

Atividades seqüência: Muitas vezes, uma parte de um projeto não pode começar até que outra parte do projeto foi concluída. A seqüência do processo Actividades cria um diagrama de rede do cronograma que mostra a seqüência de eventos, que são influenciados pelo fluxo de trabalho dependências. Maior impacto para o seqüenciamento dentro de testes de penetração tende a ser recursos.

■

Estimativa de Recursos Atividade: O processo de estimar o tipo e quantidades de material, pessoas, equipamentos ou materiais necessários para realizar


cada atividade. E não. . . enormes quantidades de livre, soda cafeína-laden não são recursos críticos, apesar do que dizem os engenheiros. ■

Estimativa de durações das atividades: Uma vez que o gerente de projeto sabe que atividades ocorrerá durante o projeto, eles precisam conhecer o nível de tensão no recursos, como ferramentas e sistemas. Se um mesmo recurso é necessário para concorrentes atividades, o gerente de projeto deve ser capaz de decidir em conformidade. Estimar durações das atividades pode ajudar o gerente de projeto organizar o trabalho atividades, de modo que os recursos sejam melhor utilizados.

■

Desenvolver Horário: Após a lista de atividades, a rede do cronograma do projeto durações diagrama, a atividade e foram calculadas e formalizada, o cronograma pode ser gerado. Na maioria dos testes de penetração, as atividades podem ser medidos em homem-dias. Custos estimativa: Uma vez que a programação é desenvolvida e os recursos são identificados e programada, uma estimativa de custo do projeto pode ser criado. Uma vez que o estimado custos são determinados, o projeto não pode valer a pena o custo em comparação com o receita o projeto irá gerar. O processo de Estimativa de custos vai ajudar gestão de decidir se quer não continuar projeto. Determine Orçamento: Osou custos estimadoso nem sempre refletem o custo real em um projeto. Fatores adicionais estão incluídos neste processo para determinar o que o orçamento do projeto deve ser. Em algumas lojas menores, como bem o pentest equipe se reúne influências do bônus orçamento.

■

■

■

■

■

■

Qualidade plano: Como é que um gerente de projeto saber se o trabalho que está sendo feito é trabalho de qualidade? O processo de planejamento da qualidade cria métricas e listas de verificação que o gerentePlano de projeto pode utilizar para aferição da qualidade durante e após o projeto. Desenvolver de Recursos Humanos: Realização de um teste de penetração exige engenheiros com um conjunto de habilidades específicas. O Plano de Recursos Humanos identifica o habilidades necessários para a execução do projeto, bem como papéis, resdades, e cadeia de informação necessária dentro do projeto. Em lojas pequenas, pode não ser possível obter a melhor pessoa para o trabalho, razão pela qual a "Desenvolver Project Team processo "(discutido mais tarde) é tão fundamental para o sucesso de um projeto. Se o pentest equipe é parte de uma organização maior, pode ser possível a utilização de pessoal das empresas como consultores quando necessário, ampliando a Comunicações Plano: vez que as partesdainteressadas foram identificados, e os skillset da equipe, semUma aumentar o tamanho equipe. tipo de comunicação cada stakeholder necessidades durante diferentes eventos, a plano de gerenciamento de comunicações podem ser criados. Todos os possíveis de emergência situações devem ser incluídos, incluindo falhas no sistema. Plano de Gerenciamento de Risco: Um plano de gerenciamento de risco faz referência ao projeto em si, não riscos descobertos durante pentest de uma rede ou sistema alvo.


Experiência, muitas vezes oferece o melhor curso de ação a ser tomada na gestão risco, mas para equipes que estão começando, comunicação com engenheiros e gestão, muitas vezes, produzem uma solução. ■

■

Identificar os riscos: um registo de Risco listas riscos potenciais para o sucesso do projeto e identifica as possíveis soluções para atenuar, eliminar, transferir ou assume cada risco. Experiência pode muitas vezes ser usado para identificar os riscos para o projeto. Conversando com engenheiros e gestão é útil se a penetração projetos de teste são novos para o gerente de projeto. Execute Análise Qualitativa: Uma vez que os riscos para o projeto foram identificados, análise é realizada para determinar qual a solução possível, deve ser adotado. Este processo conduz a uma análise qualitativa sobre os riscos que não pode usar a análise quantitativa de risco.

■

Plano de respostas aos riscos: Com base no plano de gestão de risco, este processo desenvolve opções que o gerente de projeto pode tomar para reduzir as ameaças à projeto. Porque um risco quase sempre presente em um teste de penetração é "Um sistema irá falhar e potencialmente milhões de dólares serão perdidos ", o Plano Processo de respostas de risco não deve ser apressado criado.

■

Compras plano: Se os recursos adicionais são necessários para terminar corretamente o projeto (incluindo outsourcing ou aquisição de sistemas / ferramentas), este processo define a abordagem para a compra (licitação, compra "Off-the-shelf", e assim por diante), bem como identificar potenciais vendedores ou fornecedores.

Algumas questões de planejamento dentro de testes de penetração envolvem o uso de recursos especificamente ferramentas de software. Ferramentas comerciais pentest muitas vezes têm licenciamento apertado acordos, o que pode limitar drasticamente o número de usuários ea Internet Protocolo de intervalo de endereços de alvos. Além disso, esses contratos de licença muitas vezes precisa ser renovado anualmente e pode não ser rentável se pentest projetos não são freqüentes ou pequeno. Como podemos ver, há um monte de planejamento que ocorre dentro de um projeto. É importante lembrar que, apesar de muitos documentos de planejamento são criados no início do projeto, o gerente de projeto irá modificar cada um deles ao longo a vida do projeto, dependendo descobertas durante todo o projeto. Além disso, a maioria engenheiros que participam do projeto nunca participar de qualquer do planejamento atividades de fase -maior parte do seu envolvimento é no grupo de processos de execução, que discutiremos em seguida. NOTA Engenheiros: A afirmação de que "Mais engenheiros nunca participar de qualquer um dos atividades de planejamento "não se refere ao Projeto Engenheiros Lead, que deve ser considerado um das partes interessadas no projeto e estar envolvido em todas as fases do ciclo de vida do projeto.


Grupo de processos de execução Figura 6.3 inclui uma lista de processos dentro do grupo de processos de execução. Este grupo envolve ativamente engenheiros de teste de penetração e é muitas vezes expressa como a "DO" no ciclo Plan-Do-Check-Act, como visto na Figura 6.4. Dentro de uma penetração projeto de teste, isto é, quando os engenheiros realizar seus ataques -especificamente dentro a coleta de informações, identificação de vulnerabilidades, Verificação de Vulnerabilidade, e comprometendo a passos identificados dentro Parte 2 deste livro.

Grupo de processos de execução Orientar e gerenciar a execução do projeto Realizar a garantia da qualidade Mobilização da Equipe Desenvolver a equipe do Projeto Gerenciar a equipe do Projeto Distribuir informação Gerenciar expectativas das partes interessadas Compras conduta

FIGURA 6.3 Grupo de processos de execução

Fazer

Plano

Verificar

Ato

FIGURA 6.4 Plan-Do-Check-Act Ciclo de Vida


Embora haja muita atividade nos processos de execução, os resultados são muitas vezes em comparação com as expectativas listadas em documentos criados nos processos de planejamento, que, então, causar expectativas do projeto a ser modificado, o que, então, fazer atividades dentro dos processos de Execução de mudar também. Mesmo em testes de penetração, não há um ciclo constante de avaliação e revisão, o que oferece a "Oportunidade" para aumento do escopo (a maldição de qualquer gerente de projeto). Aumento do escopo ocorre quando as alterações são feitas no escopo do projeto, sem nenhum mecanismo para controlar as mudanças e pode empurrar os custos de um projeto para além do que é aceitável. Usando os seguintes processos dentro do grupo de Execução sabiamente pode ajudar a prevenir aumento do escopo (PMI, ■ Orientar e gerenciar a execução do projeto: Uma vez que as tarefas foram atribuídas, o 2008): gerente de projeto deve diretos e gerenciar os engenheiros para garantir conclusão bem sucedida das tarefas no tempo e dentro do orçamento. ■

■

■

■

■

Realizar a garantia da Qualidade: As métricas de qualidade definidos anteriormente são usados em esse processo para identificar o quão bem a equipe do projeto é o cumprimento das normas Adquirir Equipe do Projeto: Uma vez as necessidades do projeto de teste de penetração de qualidade. identificado, o gerente de projeto pode tentar adquirir os melhores membros da equipe para o trabalho, que é mais fácil dizer do que fazer. Desenvolver a equipe do Projeto: Nos casos em que membros da equipe têm pentest deficiências de conhecimento ou habilidade, o gerente do projeto possa alocar fundos e programação de treinamento para obter os membros da equipe até a paridade com as exigências do projeto. Gerenciar a equipe do projeto: desempenho membro da equipe deve ser monitorado durante o curso do projeto e os problemas devem ser resolvidos. Distribuir informação: A comunicação é fundamental dentro de um projeto, este processo garante a informação é transmitida aos interessados logo no momento certo.

■

Gerenciar expectativas das partes interessadas: Sempre haverá discrepâncias entre o que as partes interessadas esperam do projeto e que realmente materializa. Isso não é necessariamente devido à falta de comunicação, mas pode ser das descobertas encontradas durante o projeto. Gerentes de projetos precisam gerenciar necessidades das partes interessadas e expectativa durante a essas mudanças.

■

Conduta Compras: Se há pessoas para contratar ou ferramentas para ser comprado, este processo é concebido para facilitar essas tarefas.

NOTA Gerentes: O Plan-Do-Check-Act ciclo de vida não se limita ao pentest projeto como um todo. Cada atividade dentro do pentest real (Information Gathering Vulnerabilidade, Identificação, verificação de Vulnerabilidade, e assim por diante) usa este ciclo para verificar e modificar achados anteriores. Não se surpreenda quando os engenheiros parecem estar repetindo tarefas anteriores; eles são simplesmente "Enumerando os resultados. "


Grupo de processos de encerramento

Figura 6.5 ilustra os dois processos que se enquadram no grupo de processo de encerramento. Este é o local onde os documentos finais são liberados para o cliente, e contratuais acordos são concluídos. Muitas vezes, é melhor incluir debriefings sobre os acontecimentos do o projeto com a equipe de teste de penetração, de modo lições podem ser aprendidas e futuro projetos podem ser melhorados. Os processos dentro do grupo de Encerramento incluem as seguintes (PMI, 2008): ■

Encerrar o projeto ou Fase: Este processo centra-se em múltiplas atividades -talvez mais importante é a liberação da avaliação de risco para o cliente final, detalhando todas as vulnerabilidades identificadas e exploradas, juntamente com a remediação sugestões. Além disso, são celebrados contratos, atos administrativos são conduzidos, e as atividades de arquivo são executadas.

■

Compras próximas: Todos os recursos que foram adquiridos durante o curso do projeto precisam ser liberados para outros projetos (ou, no caso de outsourcing, concluído). Este processo facilita essa atividade de modo que nada é negligenciado.

Com alguma sorte, o gerente de projeto está lançando o pentest equipe comece a trabalhar em outro projeto de teste de penetração. Independentemente disso, todos os dados coletados e projeto necessidades documentado para ser arquivado para futuros projectos ou pedidos de informação. É frequentemente o caso que PenTests anteriores são revisitados; adequada arquivamento do projeto dados é fundamental para o sucesso de ambas Acompanhamento e Controle de futuro Process Groupas empresas e equipes de teste de penetração. Embora pareça haver uma progressão natural entre o processo anterior grupos que espelha o ciclo Plan-Do-Check Act, o PMI foi acrescentado um outro Grupo de processos na mistura -de Acompanhamento e Controle de Processo grupo. Monitorar e controlar um projeto é um processo contínuo e começa e termina junto com o projeto. Uma vez que as descobertas são feitas durante toda a vida de um projeto, eles podem afetar a direção do projeto, incluindo a modificação do escopo do projeto. Os processos dentro do grupo de Monitoramento e Controle de Processo,

Grupo de processos de encerramento Encerrar o projeto da Fase Compras Fechar

Figura 6.5 Grupo de processos de encerramento


Acompanhamento e Controle Grupo de processos

Monitorar e controlar o trabalho do Projeto Realize Controle Integrado de Mudanças Verifique Scope Âmbito controle O controle do cronograma Os custos de controle Controle da Qualidade Performance Report Monitorar e Control Risks Administrar Compras

Figura 6.6 Acompanhamento e Controle de Process Group

visto na Figura 6.6, são utilizados por gerentes de projeto para controlar as mudanças em um forma sistemática para que o tempo, orçamento, escopo, qualidade e não são afetados negativamente. Para controlar as mudanças inevitáveis dentro de um projeto, os seguintes processos pode ser usado pelo gerente de projeto (PMI, 2008): ■ Monitorar e controlar o trabalho do Projeto: Eventos acontecer que atrasar o progresso da um projeto -as pessoas ficam doentes, os recursos ficam indisponíveis (break), os desastres acontecer, e muito mais. Mesmo que um gerente de projeto deve incluir alguns variações no cronograma para acomodar esses eventos, acompanhamento, revisão, e regular o andamento do projeto deve ser conduzido de modo que a qualidade e orçamento não são afetados também. ■

■

■

Realize Controle Integrado de Mudanças: As requisições de mudanças ocorrem em quase todos os projeto. Controlar essas mudanças de forma sistemática é imperativo. Aprovar mudanças, mudanças de gestão para os resultados, adicionar ou modificar projeto documentos, e alterando o plano de gerenciamento de projetos caem todos sob o controle Faça do Processo de Controle integrado de mudanças. Verifique Scope: Este processo garante que as entregas do projeto são compreendido e aceitável para as partes interessadas. Âmbito de controle: Similar ao Controle de Mudanças Execute Integrado, mudanças deve ser sistemática, especialmente com o escopo do projeto.


■

O controle do cronograma: Em alguns casos, alterações no projeto afeta o cronograma. Como e quando isso ocorre é gerenciado no processo de controle da programação.

■

Custos de Controle: Alterações ao projeto também pode afetar o custo do projeto. Como e quando isso ocorre é gerenciado no processo de controle de custos.

■

Controle da Qualidade: Qualidade é algo que deve ser controlada em cada fase de um projeto. Para testes de penetração, com vista para informações ou vulnerabilidades por causa dos controles de qualidade lax é perigoso na medida em que fornece clientes com uma falsa sensação de segurança. Um processo de controle de boa qualidade podem ajudar reduzir o risco associado com falsos negativos. Relatório de desempenho: Previsões, relatórios de status e progresso precisa ser recolhidas e transmitidas para os interessados adequada. O Relatório de Perprocesso de desempenho é destinada a facilitar a esses requisitos.

■

■

■

Monitorar e Control Risks: Para estar sempre vigilante de riscos futuros, este processo centra-se na implementação de planos de resposta aos riscos, rastreamento identificados riscos, monitoramento dos riscos residuais, identificar novos riscos, e avaliar o risco processo durante a vida útil do projeto. Administrar Compras: Infelizmente, aquisições não são simples de principalTain no mundo dos negócios. Relações compras precisam ser gerenciados, e execução do contrato tem que ser monitorado.

De Acompanhamento e Controle de Processos estão em curso ao longo de todo vida do projeto. Em testes de penetração profissional, projetos muitas vezes são breves e pode se estender para fora, talvez um mês ou dois. Ao contrário de grandes projetos que se estendem por anos e custam bilhões, um pentest projeto pode ser consideravelmente menos formal, dependendo do seu requisitos da organização. Em pequenos projetos, o registro de riscos podem ser escritas em cartões de índice, a WBS pode ser uma página wiki; risco qualitativa e quantitativa análise pode ser limitado a um par de reuniões com a equipe; e Planejamento As comunicações podem ser tão simples quanto adicionar uma discagem rápida a um telefone celular. No entanto, todos estes processos precisam ser abordadas dentro de um teste de penetração profissional projeto -a formalidade dos processos podem variar.


Project Management versus Engenharia Em muitos projetos, tende a haver atrito entre gerentes de projeto e engenheiros, que pode se transformar em baixo-direita hostilidade. Isso é lamentável, porque a utilização de gerentes de projeto é destinadas a melhorar as chances de sucesso para todos os envolvidos. Engenheiros precisam estar cientes de que gerenciamento de projetos é um ativo -não um obstáculo -em um projeto.


SISTEMA DE INFORMAÇÃO DE SEGURANÇA quadro de avaliação Apoiado pelo Open Information Systems Security Group (OISSG), o ISSAF é um peer-reviewed processo que fornece informações detalhadas sobre como conduzir uma teste de penetração. Uma das vantagens do ISSAF é que ele cria um distinto conexão entre tarefas dentro de um teste de penetração e pentest ferramentas. Embora o OSSTMM não sugerem o uso de qualquer ferramenta especial, durante uma avaliação, um verificador da penetração profissional irá mais usar, se não todas, das ferramentas utilizadas na ISSAF quando se utiliza o OSSTMM como o pentest metodologia. Na segunda parte deste livro, usaremos o ISSAF extensivamente, mas referem-se à outras metodologias também.

Planejamento e Preparação -Fase I Como vimos no PMBOK, havia 20 processos diferentes usados apenas para o planejamento um projeto. Concedido, todos eles podem não ser necessários para cada teste de penetração, mas a rigor não pode ser contestada. O ISSAF também tenta oferecer usuários de orientação na área de planejamento e preparação -uma área que realmente é fundamental para um projeto bem sucedido teste de penetração. No entanto, a seguinte citação é a extensão da orientação do ISSAF do (Open Information Security Systems Group [OISSG], 2006): FASE -I: PLANEJAMENTO E PREPARAÇÃO Esta fase compreende as etapas a primeira troca de informações, planejar e preparar para o teste. Antes do teste, um Acordo de Avaliação formal será assinado por ambas as partes. Ele irá fornecer base para este trabalho e mútuo proteção legal. Irá especificar a equipe de trabalho específica, a exata datas, horários do teste, caminho de escalonamento, e dá outras providências. O seguinte atividades estão previstas nesta fase: ■

Identificação de indivíduos de contato de ambos os lados,

■

Abertura de reunião para confirmar o escopo, a abordagem e metodologia, e

■

Concorda em casos de testes específicos e os caminhos de escalação. Isso é praticamente inútil para qualquer projeto profissional teste de penetração gerente. Embora a metodologia é apenas a versão 0.2B, é possível que, no essa fase futura da metodologia de teste de penetração será mais robusto -até então, uma metodologia diferente para o planejamento e preparação de um profissional projeto de teste de penetração deve ser usado.

Avaliação -Fase II Só porque o ISSAF não detalha o planejamento ea preparação de um penetração de forma eficaz, isso não significa que o resto da metodologia deve ser

Informações do Sistema de Segurança Quadro de Avaliação 167

descartados. Na verdade, parte 2 deste livro segue de perto a metodologia ISSAF porque quebra as fases do teste de penetração em mais etapas granular e com maior detalhe. Um dos pontos fortes do ISSAF é o nível de detalhe prevista no documento é tão fina que inclui até mesmo passo a passo exemplos de ferramentas de software e os comandos necessários para executá-los. Usando apenas o ISSAF, alguém completamente familiarizado com ferramentas de testes de penetração pode repetir o exemplos no documento e ganhar algum conhecimento do que as ferramentas de fazer e o que os resultados ferramenta de dizer. Não o melhor método de conduzir um teste de penetração, mas para aqueles que são novos para a profissão, é uma ferramenta de aprendizagem eficaz. Mesmo que vamos usar alguns dos exemplos fornecidos pela ISSAF neste livro, que encontrará rapidamente que os exemplos estão limitando e não abrangente. Na verdade, muitos dos exemplos demonstram apenas uma fração do teste de penetração funcionalidade ferramentas ', exigindo profissionais para expandir sobre o que é fornecido no ISSAF ser competente na profissão. Dentro da Fase de Avaliação, o ISSAF refere-se às etapas dentro de uma penetração teste como "Camadas". Estas camadas eo que elas significam de acordo com o ISSAF são tão segue (OISSG, 2006):

■

Recolha de informação: Usando a Internet para encontrar todas as informações sobre o alvo, através de métodos técnicos e não técnicos.

■

Mapeamento de rede: Identificar todos os sistemas e recursos dentro da meta rede.

■

Vulnerabilidade de identificação: Atividades realizadas pelo avaliador para detectar vulnerabilidades no alvo.

■

Penetração: Ganhar acesso não autorizado por contornar a segurança medidas no local e tentar chegar a um nível tão grande de acesso possível.

■

Acesso e elevação de privilégios: Após o sucesso na exploração de um alvo sistema ou rede, o avaliador irá tentar obter privilégios de nível superior.

■

Enumerando adicionais: A obtenção de informações adicionais sobre os processos em o sistema, com o objetivo de explorar ainda mais uma rede comprometida ou do sistema.

■

Compromisso usuários remotos / Sites: Exploit as relações de confiança e comunicação entre usuários remotos e redes corporativas.

■

Mantendo o acesso: Usando canais secretos, portas traseiras, e rootkits para esconder presença do avaliador sobre o sistema ou para fornecer acesso contínuo ao comprometimento do sistema.

■

Cobrindo Faixas: Eliminar todos os sinais de compromisso por arquivos escondidos, limpando logs, derrotando verificações de integridade, e derrotando software antivírus. As camadas de um teste de penetração pode ser aplicado para as seguintes metas: Redes, hosts, aplicativos e bancos de dados. Dentro parte 2 deste livro, vamos


discutir essas classificações em graus diferentes, mas vamos dar uma olhada no que os tipos de avaliações de queda em cada categoria de acordo com o ISSAF.

Rede de Segurança O ISSAF fornece informações detalhadas sobre os diferentes tipos de segurança de rede avaliações em diferentes graus de detalhe. As informações fornecidas são as informações básicas sobre os temas, exemplos de configurações padrão, uma lista de ferramentas de ataque para usar, e os resultados esperados. O ISSAF é valioso no sentido de que fornece informação suficiente sobre um tópico, assim que alguém novo para o conceito de testes de penetração pode ler e entender o básico. Aqui está a lista de diferentes tópicos que o ISSAF incluiu dentro Network Security (OISSG, 2006): ■

Teste de senha de segurança

■

Switch Security Assessment

■

Router Security Assessment

■

Firewall Security Assessment

■

Intrusion Detection System Security Assessment

■

Avaliação de Segurança Virtual Private Network

■

Antivirus Sistema de Avaliação de Segurança e Estratégia de Gestão

■

Storage Area Network (SAN) de Segurança

■

Wireless Local Area Network Security Assessment

■

Segurança do Usuário Internet

■

AS 400 Segurança

■

Lotus Notes Segurança

Em muitos casos, não precisa ler o ISSAF inteiro; podemos nos referir a esses seções pertinentes ao projeto atual teste de penetração, se necessário (eu nunca necessários para se referir ao "Lotus Segurança Notas ", por exemplo). Mais uma vez, o ISSAF é um bom ponto de partida, certifique-se que não é a única fonte para a Pentest Team.

Security Host O ISSAF inclui os sistemas operacionais mais usados no seu lista de Security Host plataformas. Novamente, o ISSAF oferece aos seus leitores informações de apoio sobre cada plataforma, uma lista de resultados esperados, ferramentas e exemplos do que um pentest pode parecer que atinge um sistema. As avaliações a seguir estão incluídos: ■

Unix / Linux System Security Assessment

■

Windows System Security Assessment

Informações do Sistema de Segurança Quadro de Avaliação 169

■

Novell Netware Security Assessment

■

Servidor Web Security Assessment

AVISO Engenheiros: O ISSAF, versão 0.2.1B, foi escrito quando o Windows NT sistemas foram o sistema operacional predominante da Microsoft. As coisas mudaram dramaticamente, por isso não esperamos os exemplos no ISSAF seja válido em todas as plataformas Microsoft. Gerentes: Certifique-se que o pentest equipe é treinada sobre as últimas versões do alvo quadro de funcionamento do sistema antes de esperar que eles sejam capazes de identificar adequadamente e explorar vulnerabilidades. A arquitetura subjacente de sistemas operacionais mudou tão dramaticamente ao longo dos anos que é razoável esperar que um engenheiro familiarizado com Windows NT para ser capaz de atacar os sistemas Server 2008.

Meu comentário anterior sobre não ter que ler todos os tópicos de segurança de rede não detém aqui -existem tantos diferentes sistemas que rodam modificado versões dos hosts listados acima que um profissional engenheiro de teste de penetração que realiza avaliações host deve ter uma sólida compreensão de todos os quatro indicados sistemas. Tenho visto sistemas operacionais em todos os tipos de dispositivos de rede, muitos dos o que me surpreendeu quando eu descobri que eles estavam em execução. Servidores Web têm também foram incluídas em um grande número de aparelhos, incluindo roteadores, switches, firewalls e muito mais. Servidores Web não são apenas para a Internet mais -eles são usado como um interface gráfica do usuário para fins administrativos tempo todo.

Application Security A linha entre a aplicação eo banco de dados é uma linha difícil de desenhar -muitos aplicações requerem acesso a um banco de dados para funcionar. O ISSAF não desenha a linha de muito bem, qualquer um, e inclui atividades que são ataques de banco de dados dentro aplicação de segurança (como Structured Query Language (SQL) com os ataques intenção de "Get controle sobre banco de dados "). As avaliações que se enquadram Application De segurança de acordo com o ISSAF são as seguintes (OISSG, 2006): ■

Web Application Security Assessment

■

Injeções de SQL

■

Auditoria Código Fonte

■

Auditoria binário

Web aplicação de segurança é um grande tema, vamos discutir as diferentes técnicas específicos para aplicações web. Mas vamos ver que o que fazemos para a aplicação Web ataques é muito semelhante à metodologia que usamos para atacar todas as aplicações. Muitas vezes, a única vez que as coisas são diferentes com aplicações Web é quando há um banco de dados envolvidas.


Database Security O ISSAF fornece o assessor, com quatro camadas diferentes de avaliação, o que pode ou não pode envolver aplicações Web e serviços (OISSG, 2006): ■

Enumeração remotas de bancos de dados

■

Bruto-forçar bancos de dados

■

Ataque manipulação de processo

■

Fim-de-final da auditoria das bases de dados

Engenharia Social A seção de engenharia social do ISSAF discute muitos dos mais velhos e bemtécnicas de engenharia social conhecida usada para obter informações do sistema usuários. A parte triste é que essas técnicas mais antigas ainda são bastante eficazes. No entanto, ausente da seção são algumas das técnicas mais populares usados hoje, incluindo phishing (e todos os seus subconjuntos) e ataques de Cross Site Scripting. Isto é ainda outra razão para usar o ISSAF como ponto de partida para uma equipe para pentest entender as ameaças potenciais, mas não como toda a estrutura para a penetração projeto de teste.

Relatórios, Clean-up, and Destroy Artefatos -Fase III A fase final dentro da lida com a obtenção ISSAF os relatórios necessários à as partes interessadas adequada e assegurar todos os dados que foi gerada durante a teste de penetração. O ISSAF não entra em muitos detalhes de como executar o tarefas dentro desta fase, mas algumas generalidades são fornecidos.

Reportagem Existem dois tipos de relatórios que pode ocorrer dentro de uma penetração profissional teste -verbal e escrita. De acordo com o ISSAF, os relatos verbais são reservados para aqueles casos em que as questões críticas são descobertos e devem ser comunicadas quase que imediatamente. Pode ser prudente incluir menção de qualquer verbalmente comunicada descobertas no relatório final, mesmo que o ISSAF não mencioná-lo especificamente. Isto é, um registro formal é feita, mesmo que a questão crítica é corrigidos antes do relatório final é distribuído às partes interessadas.

AVISO Quaisquer relatórios verbais sobre questões críticas ou descobertas de natureza sensível ou colectiva precisam ser manuseados com cuidado. Se uma lei foi quebrada, os agentes locais ou federais podem precisar ser informado, e os interessados podem ter de ser excluídos de qualquer tipo de relatos verbais. Antes de um teste de penetração é iniciado, representantes legais e aplicação da lei deve ser identificados e contactados, conforme necessário.

Open Source Security Manual Metodologia de Testes 171

No relatório final escrito, o ISSAF requer o seguinte para ser incluído (OISSG, 2006): ■

Resumo de gestão

■

Escopo do projeto

■

Ferramentas de teste de penetração usados Explora usados

■ ■

Data e hora dos testes

■

Todas as saídas das ferramentas e exploits

■

Uma lista das vulnerabilidades identificadas

■

Recomendações para mitigar as vulnerabilidades identificadas, organizadas em prioridades

Estes requisitos devem estar no corpo do documento final e não relegado para anexos. Da experiência pessoal, isto pode produzir um documento complicado que é difícil de ler. Vamos falar sobre os relatórios do Parte 3 deste livro, para expandir sobre este assunto.

Clean-Up and Destroy Artefatos O ISSAF não discute este passo dentro da Fase III de um teste de penetração para qualquer grande detalhe. Na verdade, a etapa inteira é limitada ao número seguinte (OISSG, 2006): Toda a informação que é criado e / ou armazenadas nos sistemas devem ser testados removido a partir destes sistemas. Se isso é por algum motivo não é possível a partir de um sistema remoto, todos esses arquivos (com a sua localização) deve ser mencionado no relatório técnico para que a equipe técnica do cliente será capaz de remover estes após o relatório foi recebido.

É possível que em versões futuras do ISSAF, mais detalhes serão fornecidos a respeito de como criptografar, higienizar e destruir dados criados durante uma penetração teste e mantida depois. Nesse meio tempo, vamos discutir estas questões no terceira parte deste livro.

OPEN SOURCE DE SEGURANÇA MANUAL metodologia de testes O OSSTMM foi introduzido pela primeira vez para a indústria de segurança da informação do sistema no 2000. A versão atual é a versão 3.0 e é mantido pelo Instituto de Segurança e Metodologias Open (ISECOM). O manual é desenvolvido usando peer opiniões e é publicado sob licença Open Source e pode ser obtido em www.isecom.org. Embora o OSSTMM fornece uma metodologia para realizar testes de penetração, é acima de tudo uma metodologia de auditoria que pode satisfazer reguladoras


e exigências da indústria, quando utilizado contra o patrimônio da empresa. Os autores do OSSTMM descrevem os manuais da seguinte forma (Herzog, 2008): Esta metodologia continuou a fornecer em linha reta, testes factual factual para respostas. Ele inclui informações para o planejamento do projeto, os resultados da quantificação, e as regras de engajamento para aqueles que irão realizar as auditorias de segurança. Como um metodologia não se pode aprender com ela como ou por que algo deve ser testado; No entanto, o que você pode fazer é incorporá-lo em suas necessidades de auditoria, harmonizar com leis e políticas existentes, conformando-o a ser o quadro que você precisa para assegurar uma auditoria de segurança completa em todos os canais. Uma versão anterior do OSSTMM também podem ser encontradas no disco BackTrack incluído no DVD que o acompanha. A versão 2.2 do OSSTMM é significativamente diferente da versão mais recente, que parece ter sido reescrita a partir do baixo para cima para cobrir vários domínios de segurança além de redes e sistemas apenas.

NOTA O OSSTMM tem várias versões do seu documento. Embora o OSSTMM pode ser obtidos gratuitamente, o acesso às últimas versões requer associação com o ISECOM site.

Rules of Engagement Em um esforço para abordar alguns requisitos do projeto, os mandatos OSSTMM certos atividades ocorrem e vários documentos ser gerado. Embora o OSSTMM é um pouco mais extensa em discriminando partes do que pertence a um teste de penetração profissional projeto que o ISSAF, nenhum processo são fornecidos para o gerente de projeto para alavancar quando atribuído a um pentest projeto. A informação fornecida dentro do OSSTMM inclui algumas melhores práticas da indústria, que são benéficos para um gerente de projeto que não tenha tido qualquer experiência dentro da pentest comunidade. O seguinte é um trecho da "Regras of Engagement "dentro da lista OSSTMM o que é necessário antes que o projeto pode começar -questões relacionadas com as melhores práticas não são aqui apresentados mas certamente pode ser encontrada dentro do próprio documento (Herzog, 2008): ■

Escopo do Projeto

■

Confidencialidade e Não Divulgação Assurance

■

Informações de contato de emergência

■

Declaração de processo de mudança de Trabalho Plano de Teste

■ ■

Processo de Teste

■

Reportagem


Em alguns testes de penetração, isto pode ser suficiente para satisfazer os clientes. No entanto, há muitas coisas que falta um gerente de projeto seria necessário para aumentar para melhorar o sucesso de um projeto pentest (ou qualquer projeto para essa matéria), incluindo a contratação de identificação de riscos, não (dentro do projeto, a meta sistema), análise de risco qualitativa e quantitativa, a obtenção de recursos humanos, estimativas de custos, e controles. Independentemente disso, o Regulamento de Contratação de seção o OSSTMM tem informações valiosas nele e deve ser lido e seguido.

Canais O OSSTMM usa o termo "Canal" para classificar áreas de segurança de interesse dentro de uma organização, incluindo a segurança física, comunicações sem fio telecomunicações e redes de dados. Estes quatro canais são positivamente o maior impacto da auditoria e testes de penetração e envolvem a maioria dos os 10 domínios de segurança identificado pelo (ISC) 2 (conforme discutido no Capítulo 3).

Segurança Humana O objetivo principal desta seção OSSTMM é verificar a eficácia do treinamento em segurança dentro de uma organização. As técnicas e ferramentas necessárias para realizar avaliações de Segurança Humana incluem funcionários de engenharia social. Alguns dos testes incluem a habilidade de conduzir a fraude; suscetibilidade à "Psicológico abuso ", como rumores, capacidade de ouvir em "Fechado porta "reuniões, identificar preto atividades de mercado, e descobrir a extensão em que informações particulares sobre funcionários de empresas podem ser obtidas; e habilidade do avaliador para obter informações proprietárias de funcionários de empresas.

Segurança física A auditoria de segurança física usando o OSSTMM envolve tentativas de ganhar acesso a um instalação sem a devida autorização. Quem estiver interessado em prosseguir uma carreira que envolve auditorias de segurança física precisa estar ciente dos perigos envolvidos, que as listas OSSTMM da seguinte forma (Herzog, 2008): . . . danos corporais acidentais de barreiras convencionais e as armas, as interações com animais, a sujeição às bactérias nocivas, vírus e fungos, a exposição a eletromagnética e radiação de microondas especialmente aquela que pode permanentemente danos auditivos ou de vista, e agentes químicos venenosos ou corrosivos sob qualquer forma.

A auditoria de segurança física concentra-se em avaliar a eficácia das sistemas de monitoramento, guardas e colocação de guarda dentro da instalação, iluminação e tempo de reação aos eventos de segurança.


AVISO Qualquer pessoa que realiza uma auditoria de segurança física precisa ser preparado para começar capturados e detidos por policiais. As atividades do verificador da penetração dentro de um físico Auditoria de segurança imitar as atividades dos criminosos, ea primeira suposição será que o seu atividade é autorizada e você é uma ameaça para a propriedade ou a segurança dos outros. Não se surpreendido quando confrontado por alguém carregando uma arma carregada -é apenas parte do trabalho.

Wireless Communications O OSSTMM não limita o canal de comunicação sem fio para conectividade entre o ponto de acesso à rede e sistemas de computação. Segurança eletrônica, Sinais de Segurança e de Segurança Emanações são tópicos dentro deste canal. Qualquer emissão eletrônica que pode ser interrompida ou interceptada cai sob este canal, incluindo Identificação por Radiofrequência (RFID), as emissões de monitor de vídeo, equipamentos médicos, e os pontos de acesso à rede wireless.

Telecomunicações Áreas de ataque dentro do canal de telecomunicações envolvem qualquer modalidade de voz comunicação, incluindo sistemas de PBX, caixas de correio de voz e VoIP. Muitas destas modos de comunicação são agora operados por computadores e são suscetíveis a ataques de rede. Um teste de penetração pode identificar vazamentos de informações possíveis, seja através da desorientação de pacotes de rede ou proteção fraca mecanismos para acessar contas de funcionários.

Redes de Dados O principal objectivo deste livro é instruir o leitor sobre como conduzir uma Dados de teste de penetração da rede. Este canal focaliza computador ea rede segurança e abrange os procedimentos de penetração abaixo de teste (Herzog, 2008): ■

Levantamento da rede

■

Enumeração

■

Identificação

■

Processo de acesso

■

Serviços de Identificação

■

Autenticação

■

Spoofing

■

Phishing

■

Abuse de recursos

Começando com o capítulo 9, vamos discutir todos esses procedimentos, mas vai usar o Terminologia ISSAF em seu lugar.


Módulos Similar ao conceito de processos dentro do PMBOK, o OSSTMM tem módulos, que são processos repetitivos dentro de um teste de penetração. Estes módulos são utilizado em todos os canais identificados pelo OSSTMM. Implementação de cada módulo podem ser diferentes, dependendo da rede ou sistema alvo, no entanto, o conceitos apresentados a seguir descrevem o objetivo de alto nível de cada módulo (Herzog, 2008): ■

Fase I: Regulamentação ❐ Posture Review: Identificação de políticas regulatórias e legislativas que aplicar ao alvo. Práticas da indústria também são considerados. ❐

❐

■

Fase II: Definições ❐

❐ ❐

❐

■

Logística: Como nada ocorre em um vácuo latência da rede, eo servidor localização pode modificar os resultados, é necessário identificar qualquer logístico restrições presentes no projeto. Verificação de Detecção de atividade: A verificação da prática e amplitude de detecção de interação, resposta e previsibilidade resposta.

Auditoria visibilidade: Uma vez que o escopo do projeto foi elaborado, o PenTesters necessidade de determinar o "Visibilidade" das metas dentro do escopo do projeto. Verificação de acesso: Identifica os pontos de acesso dentro da meta. Verificação de confiança: Sistemas muitas vezes têm relações de confiança com outros sistemas para fazer negócios. Este módulo tenta determinar os relacionamentos. Verificação de Controles: O módulo mede a capacidade de violar confidencialidade, privacidade, integridade e não-repúdio dentro de um sistema, e o que controla estão no local para impedir essa perda.

Fase III: Fase de Informação ❐

❐

❐

❐

Verificação processo: O avaliador examina os processos que estão no local para assegurar a postura de segurança do sistema é mantido em seu nível atual e a eficácia desses processos. Verificação de configuração: No canal de Segurança Humana, este módulo é chamado Verificação de treinamento e examina as operações padrão do alvo. As operações padrão são comparados com o negócio da organização necessidades. Validação de propriedade: Identifica a propriedade intelectual (IP) ou aplicações em o sistema de destino e validar licenciamento do IP ou aplicação.

Análise de segregação: As tentativas de identificar informações pessoais na sistema, e na medida em que a informação pode ser acessada por usuários legítimos ou não autorizados.


❐

❐

■

Verificação de exposição: Identifica as informações que está disponível no Internet sobre o sistema de destino. Inteligência Competitiva Scouting: Identifica as informações concorrente que pode impactar o proprietário de destino através da competição.

Fase IV: Fase de teste Interactive Controles ❐

Verificação de quarentena: Valida a capacidade do sistema para a quarentena acesso ao sistema externamente e internamente os dados do sistema.

❐

Privilégios Auditoria: Examina a capacidade de elevar privilégios dentro da do sistema.

❐

Validação de sobrevivência: no canal de Segurança Humana, este módulo é chamado Continuidade dos Serviços e é usado para determinar a resistência do sistema a situações de excesso ou adversos. Alerta e Log comentário: No canal de Segurança Humana, este módulo é chamado Levantamento final e envolve a análise das atividades de auditoria.

❐

Passos específicos são fornecidos na OSSTMM para que o módulo de alto nível objetivos sejam alcançados e eliminar qualquer ambiguidade. Apesar de não ser tão específico quanto os passos dentro do ISSAF, os módulos OSSTMM fornecer granularidade suficiente para profissionais experientes pentest para selecionar as ferramentas adequadas ao conduzir o ataque. Ao contrário do ISSAF, o OSSTMM fornece a pentest engenheiro de alguns flexibilidade sobre a melhor forma para atacar o alvo, fornecendo generalidades sobre o que precisa a ser feito em pentest o. Para aqueles indivíduos apenas começando a sua carreira no campo de testes de penetração, generalidades, sem qualquer orientação sobre que ferramentas usar ou que processos a seguir pode ser assustador.

RESUMO Nenhuma das metodologias listadas aqui são apropriados para todas as facetas de um teste de penetração, da concepção à conclusão. No entanto, todas as metodologias tem componentes que, quando combinados, irá fornecer uma base efetiva para qualquer projeto de teste de penetração. A dificuldade é identificar quais partes de usar e qual a evitar. O PMBOK fornece um quadro muito bem estruturada para qualquer teste de penetração. Se os engenheiros a trabalhar no teste de penetração têm anos de experiência e são muito competente em seu trabalho, o PMBOK pode ser mais do que suficiente. No entanto, se os engenheiros têm lacunas em seu conhecimento, introduzindo o OSSTMM ou o ISSAF pode ser apropriado. Há um monte de processos dentro do PMBOK, mas nem todos eles precisam ser utilizado em cada teste de penetração. Os processos não podem sequer necessidade de ser formalmente documentadas. Documentação para apoiar o projeto só deve ser tão detalhada como deve ser. Criar documentos -simplesmente para ter os documentos misplaces o foco no processo de conduzir um projeto, em vez de onde


ele pertence: a conclusão bem sucedida de um teste de penetração. No entanto, os processos dentro do PMBOK estão lá para melhorar o sucesso do projeto, assegurando o projeto seja concluído dentro do prazo e orçamento. Evitando gerenciamento de projetos processos por causa do custo ou antipatia para gerenciamento de projetos pode condenar um projeto. A profissão de testes de penetração é relativamente novo, e metodologias para testes de penetração de apoio são ainda mais recentes. O OSSTMM eo ISSAF são tenta fornecer alguma estrutura e aplicar as melhores práticas dentro do profissão, mas eles não têm décadas de experiência por trás deles que outras indústrias. Com o tempo, estas metodologias serão melhorados, mas, por agora, os gerentes de projeto e engenheiros que trabalham em projetos pentest necessidade de trazer sua própria experiência com o trabalho de preencher as lacunas que existem dentro da OSSTMM, o ISSAF, eo PMBOK.

As soluções da FAST TRACK Body of Knowledge Project Management ■

O ciclo de vida do projeto consiste em cinco diferentes grupos: Processos de Iniciação, Processos de planejamento, a execução de processos, Fecho Processos e Monitoramento e Controle de Processos.

■

O propósito do grupo de processos de iniciação é conseguir a aprovação para iniciar o projeto.

■

O grupo de Processo de Planejamento obtém as informações necessárias para o sucesso concluir um projeto e define o projeto a um nível fino de granularidade.

■

O grupo de processos de execução envolve ativamente engenheiros de teste de penetração e é muitas vezes expressa como a "DO" no ciclo Plan-Do-Check-Act. O grupo de Processo de Encerramento libera documentos para o cliente, lançamentos recursos que foram adquiridos, e permite que o gerente de projeto para identificar melhorias para testes de penetração subseqüentes.

■

■

Apenas Monitoramento e Controle de Processo grupo cobre um teste de penetração desde a concepção à conclusão.

■

Nem todos os processos precisam ser usados em todos os testes de penetração. Documentação só deve ser tão detalhado quanto necessário -muito documentação impede o progresso de qualquer teste de penetração.

■

Informações do Sistema de Segurança Quadro de Avaliação ■

A fase de planejamento e processamento não poderá fornecer apoio suficiente para uma teste de penetração bem sucedida. Incorporar processos de outras metodologias conforme necessário.


■

Apesar de exemplos usando pentest ferramentas são fornecidas dentro do ISSAF, os exemplos não fornecem todos os exemplos possíveis. O teste de penetração engenheiros precisam expandir as informações fornecidas no ISSAF para conduzir com sucesso um teste de penetração.

■

O ISSAF está rapidamente se tornando ultrapassado.

Open Source Security Manual Metodologia de Testes ■

Há quatro diferentes "Canais" que podem se beneficiar de testes de penetração: segurança física, comunicações sem fios, telecomunicações e de dados redes.

■

Há quatro fases dentro de qualquer teste de penetração: Regulamentação, definições Informação, e testar os controles interativos.

■

O OSSTMM não sugere nenhuma ferramenta para ser utilizado em um teste de penetração -é assumiu o engenheiro terá o conhecimento necessário para satisfazer as requisitos do módulo.

PERGUNTAS E RESPOSTAS Q: A:

Por que discutir o PMBOK, quando o PMBOK não tem nada a ver com testes de penetração? Para concluir com êxito um projeto desde a concepção até a conclusão, uma espécie de gerência do projeto deve ocorrer. Sem um processo formal, riscos não identificados e os custos possam surgir. Nos capítulos seguintes, as questões de gerenciamento de projetos específicos para testes de penetração são identificados, e compreender os fundamentos da PMBOK pode fornecer um quadro para entender como lidar com essas questões.

Q:

Entre o OSSTMM eo ISSAF, cuja metodologia é o melhor?

A:

Ela depende das habilidades do testador penetração. Em alguns casos, tanto o métodogias pode ser usado, para garantir que nada é esquecido. Metodologias são não rígido e não deve ser aplicado a um teste de penetração de uma forma rígida. É muitas vezes necessário para expandir em qualquer processo para além de melhores práticas documentadas; teste de penetração não é excepção.

Q:

O OSSTMM parece discutir testes de penetração em um nível muito alto. Por que não existem exemplos de testes de penetração, utilizando ferramentas conhecidas?

A:

Infelizmente, cada teste de penetração é diferente, exigindo métodos diferentes para obter um resultado bem sucedido. Fornecendo exemplos em que testadores de penetração pode seguir pode limitar processo de pensamento avaliador e forçá-los em apenas repetindo as etapas e os comandos em cada teste de penetração que realizarem. Em outras palavras, sugerindo ferramentas e fornecendo exemplos não exigem qualquer pensar e transformar o engenheiro em uma "Script kiddie ".

Referências 179

Expandir suas habilidades Quer saber mais sobre metodologias de teste de penetração? Os exercícios a seguir destinam-se a fornecê-lo com conhecimento e habilidades adicionais, assim você pode entender melhor este tema.

Exercício 6.1 Familiarização com o ISSAF 1.

Obter a última versão do ISSAF. Listar as etapas dentro da Avaliação Fase.

2.

Lista os resultados esperados para cada etapa dentro da fase de avaliação.

3.

Na seção intitulada "Manuseando Taxas de detecção de falso ", define "False positivos " e "False negativos. "Dar exemplos de cada um.

EXERCÍCIO 6,2 Familiarização com o OSSTMM 1.

Obter a última versão do ISSAF. Listar as etapas dentro da Avaliação Fase. Identificar os "Quatro Ponto de "processos e suas definições.

2.

Lista comum seis "Segurança Tipos de teste "dentro de um teste de penetração. Definir cada tipo.

3.

Identificar os 12 "Erro Tipos "que podem ocorrer dentro de um teste de penetração.

4.

Identificar os 10 "A perda Controles "que pode ser testado contra em um teste de penetração.

Referências Herzog, P. (2008). Open source testes de segurança metodologia manual (OSSTMM). Obtido em Instituto para a Segurança e Open Web site Metodologias: www.isecom.org/osstmm/ Sistemas de Informação do Grupo de Segurança. (2006). Sistemas de Informação Security Assessment Quadro Projecto (ISSAF) 0.2.1B. Obtido em Open Security Sistemas de Informação Grupo de sites Web: www.oissg.org/downloads/issaf/information-systems-security-assessmentframework-issaf-draft-0.2.1b/download.html Mertvago, P. (1995). O dicionário Russo-Inglês comparativa de provérbios russos e provérbios. New York: Livros Hippocrene. Project Management Institute. (2008). Um guia para o órgão de gestão do projeto de conhecimento (4 ª ed.). Newtown Square, PA: Autor.


CAPÍTULO

Pentest Metrics

7

SOLUÇÕES NESTE CAPÍTULO Métodos quantitativos, qualitativos e mistos ........................................... ....... 182 Metodologias atuais ................................................ .............................. 186

INTRODUÇÃO Плавда глаза колет. -Provérbio russo: "Verdade picadas nos olhos. " (Mertvago, 1995)

Identificar vulnerabilidades e exploits dentro de um teste de penetração profissional projeto muitas vezes não é suficiente. Os clientes querem saber as vulnerabilidades impacto têm em seu ambiente de rede e não apenas a sua existência. No entanto, o risco do cliente não é o único risco que devem ser medidos em um projeto pentest -existem riscos inerentes à a conclusão bem sucedida do projeto em si, que os gerentes de projetos precisam ser ciente e planejar. Infelizmente, quando comparado com o setor de seguros de análise de risco, dentro no campo Information Security System está ainda na sua juventude. Embora os dados estatísticos é disponíveis que podem ser usados para estimar a expectativa de vida, nós realmente não sabemos o que o impacto típica de um exploit zero-day pode ter sobre a informação global Indústria de tecnologia. Ao apresentar risco de sistema de informação aos clientes e clientes, na maioria das vezes testadores de penetração profissional deve contar com pessoal experiência ou uma plataforma de terceiros para métricas de risco. Este capítulo irá discutir métodos e ferramentas que podem ser usados para avaliar o risco, tanto no projeto e na arquitetura de rede do cliente. Começaremos em explicar as diferenças entre análise quantitativa e qualitativa métodos e, em seguida, examinar como os métodos são implementados nas diferentes testes de penetração e metodologias de gerenciamento de projetos.

181


182 CAPÍTULO 7 Pentest Metrics

Métodos quantitativos, qualitativos e MIXED Há três maneiras de avaliar o risco -quantitativamente, qualitativamente, ou combinando os dois métodos. A maioria das pessoas associam a análise quantitativa com matemática modelos e análise qualitativa associar opiniões. Embora esses tipos de associações são muito simplista, não vamos expandir em demasia acadêmica discurso sobre metodologias de pesquisa e manter nossa discussão a um nível elevado.

AVISO Métricas encontro não é algo que pode ocorrer em um dia. O seguinte técnicas de exame do esforço significativo e muitas vezes são criados com base em experiências pessoais. Parte da dificuldade é que as empresas não gostam de compartilhar seus dados com os outros.

Análise Quantitativa Quando se utiliza análise quantitativa, contamos com números -e muitos deles. Se pudermos obtenção de dados mensuráveis, podemos extrair estatísticas para determinar a probabilidade de um evento que ocorre dentro de uma rede. Figura 7.1 é um exemplo de como obter dados quantitativos, que podemos usar para analisar padrões. Dados podem ser coletados

Coleta de dados

Medição

Figura 7.1 Análise Quantitativa

Análise

Métodos quantitativos, qualitativos e mistos 183

a partir de arquivos de log ou sistemas de monitoramento, que pode ser filtrada para identificar os freqüência de eventos. Um exemplo de como a análise quantitativa pode ser usado para criar um risco métrica seria em ataques de digitalização, que muitas vezes são prelúdios de mais grave e focado ataques. Firewalls e sistemas de detecção de intrusão (IDSs) pode ser configurado para identificar e registrar a origem e freqüência de varredura ataques contra as redes e sistemas corporativos. Uma vez recolhidos, a análise da dados obtidos podem fornecer informações de gestão suficiente tal que adicionais filtragem pode ser adicionado dentro de sistemas de rede de defesa, reduzindo a chance de ataques mais graves contra a rede. É mais fácil para apoiar os resultados usando métodos quantitativos. Porque os dados se está ausente de preconceitos pessoais e mensuráveis, os interessados são muitas vezes mais receptivos a métricas obtidas através de análise quantitativa. Infelizmente, os dados em si pode não refletir a realidade. Se os dados mensuráveis é pequena ou apenas de um curto duração do tempo, a precisão das métricas podem ser distorcidas -medição devem ser adequadamente planejados, para ter em conta as múltiplas variáveis encontradas em análise quantitativa.

AVISO Nem sempre assume que os dados mensuráveis reunida é sempre correto. Variações em uma rede são uma ocorrência comum e precisam ser levados em conta quando concepção da análise quantitativa.

Análise Qualitativa Análise quantitativa de risco baseia-se estritamente em dados mensuráveis. Nos últimos exemplo da digitalização ataques, se a análise quantitativa indicou que a maioria scan ataques originados da China, não seria surpresa para a maioria das pessoas. No entanto, nas avaliações de risco do mundo real, se a análise indicou que a maioria dos ataques scan provenientes de outros sítios que são ao contrário das expectativas (como a Antártida), o resultados seria mais provável ser questionada e, provavelmente, descartadas. Examinando dados estritamente na experiência ou instinto cai dentro análise qualitativa. Figura 7.2 ilustra um exemplo de como no mundo real as métricas podem ser obtidos utilizando qualitativa análise. O analista pode pedir indivíduos conhecedores que eles acreditam ser a atual ameaça o risco de uma poses, que é então compilado e traduzido em métricas de risco. O vantagem com análise qualitativa é que especialistas no assunto pode ter único insights sobre problemas que os dados brutos podem não refletir. Se usarmos o nosso exemplo de digitalização ataques de antes, novo firewall e técnicas de evasão de IDS pode fazer o nosso análise quantitativa inválida porque contamos com os arquivos de log daqueles particular dispositivos. Comunicando-se com especialistas no assunto, a análise qualitativa pode adicionar complexidade benéfica para nossas métricas de risco.


Coleta de dados

Análise

Grupo de foco

Figura 7.2 Análise Qualitativa


Ameaça versus Risco Algo que é fácil confundir é a diferença entre ameaça e risco. Mais simples em termos, um ameaça é algo que pode causar danos a um sistema (como malware). O risco descreve a probabilidade e impacto da ameaça (baixo se o sistema não está ligado a um rede; alta se ele é um sistema voltado para a Internet).

A desvantagem associada a análise qualitativa ou riscos dentro de uma rede é que as opiniões podem ser tendencioso e influenciado por fatores externos, incluindo a meios de comunicação, pressão dos pares (colegas de ambos ea empresa em que trabalham), e ego. Qualquer pesquisa qualitativa deve levar em conta as influências que podem a análise do desvio final. Alguns métodos utilizados pelos pesquisadores para evitar preconceitos e postura organizacional incluem exigindo o uso de contribuições anônimas, vetting os dados recolhidos através de várias iterações de entrevistas, e usando especialistas no assunto de organizações internas e externas. AVISO Qualquer pessoa considerada para inclusão no grupo de foco deve ser investigado por preconceito antes de serem adicionados. Lealdade corporativa pode inclinar a opinião de alguém, enviesando os resultados. Especialistas no assunto deve ser escolhido não só para seu conhecimento, mas por sua capacidade de dar respostas honestas e imparciais.

Métodos quantitativos, qualitativos e mistos 185

Método de Análise mista Em muitos casos, o uso de apenas um método para determinar as métricas é insuficiente. Quando o uso da análise quantitativa ou qualitativa, por si só não fornece sólida métricas, é possível combinar os dois métodos para obter os resultados necessários. Em Figura 7.3, vemos um método de conduzir uma análise de método misto. Voltando ao exemplo dos ataques de digitalização, os dados recolhidos a partir de firewalls e IDS pode sugerir um determinado plano de ataque para evitar mais complexo ataques no futuro imediato. Ao reunir esses dados e deixar objecto especialistas analisam as informações para a relevância, os peritos podem identificar controles adicionais que precisam ser incorporados na defensiva rede aparelhos. Por exemplo, se os ataques a digitalização veio de uma inesperada local, como a Antártida, os peritos podem ser capazes de reconhecer que o ataque estava sendo retransmitida através de uma rede comprometida na Antártida, em vez de provenientes do continente. Isso forçaria uma análise adicional para tentar identificar a localização real do ataque e examinar o tráfego adicional que possa ser relacionadas aos ataques de digitalização.

AVISO Se um risco precisa ser entendida e posta em prática rapidamente, um método misto de A análise irá dificultar o tempo de resposta significativamente. Mesmo que o melhor método para análise de risco não é prático, os dados valiosos ainda pode ser criado usando métodos menos do que o ideal de análise, a utilização o que é apropriado para o projeto.

Análise

Coleta de dados

Medição

Figura 7.3 Método de Análise mista

Grupo de foco


Usando um método misto permite ao pesquisador dados veterinário, antes de agir. Utilização ambos especialistas no assunto e de dados mensuráveis, métricas de risco pode ser mais precisos do que os desenvolvidos usando somente um método de análise. A desvantagem ao uso de um método misto é que ele requer uma quantidade maior de tempo e recursos para obter resultados.

Metodologias atuais Para compreender o risco dentro de um sistema ou rede, testes de penetração profissional metodologias estão tentando incorporar a análise de risco através da adopção de alguns dos mais confiáveis métodos utilizados em outras indústrias. O Project Management Institute (PMI) fornece aos gerentes de projeto, com algumas maneiras de alto nível para identificar o risco, com base sobre os métodos qualitativos e quantitativos descritos anteriormente. Infelizmente, muitas vezes é difícil de traduzir de alto nível métodos em realexemplos do mundo. A Information System Security Assessment Framework (ISSAF) fornece algumas maneiras de medir o risco, mas é muito simplista em sua abordagens. O Open Source Security Manual Metodologia de Testes (OSSTMM) tem uma abordagem diferente e quantifica todos os aspectos de segurança dentro de um alvo; No entanto, o cálculo necessário para se obter um escore de risco é complexa e pode ser assustadora para muitos. Às vezes não é possível a utilização de métodos de análise de risco atual para atribuir -este muitas vezes é o caso em que as partes interessadas estão preocupados com viés. Uma alternativa em Nestes casos é a utilização de terceiros análise para atribuir risco, usando ferramentas projetadas para verificar os níveis de risco em sistemas de destino. NOTA O campo da avaliação de risco tem sido ao redor por séculos, especialmente no indústria de seguros. Os exemplos apresentados nesta seção são uma pequena amostra de como o risco é determinadas e podem mudar ao longo do tempo com o avanço da Tecnologia da Informação.

Project Management Institute Porque o Project Management Body of Knowledge (PMBOK) é um alto nível documento, destinado a cobrir todas as possibilidades possíveis, os métodos de análise de risco discutidos dentro PMBOK pode ou não ser aplicável a testes de penetração métricas, dependendo dos dados e recursos disponíveis para o PenTester durante o projeto. Caberá ao engenheiro profissional e teste de penetração do projeto gerente para decidir qual método de análise é apropriado. Alguns dos seguintes métodos utilizam análise qualitativa, que pode ser inaceitável para o cliente pentest que quer remediar usando dados concretos. Outros métodos utilizam análise quantitativa, que requerem dados mensuráveis -um recurso nem sempre disponível. Discutiremos

Metodologias atuais 187

ambos os tipos de análise para que o pentest equipe pode selecionar o método correto para verificar e risco relatório. Os métodos de análise a seguir não são exclusivos do PMBOK e pode ser conhecido com outro nome, dependendo da indústria, que traz um outro ponto -clientes em uma determinada indústria podem esperar um tipo de método de análise mais o outro. As pessoas se acostumaram a ver tipos específicos de relatórios e gráficos, usando algo diferente os obriga a trabalhar para entender pentest resultados.

TIP Neste capítulo, estamos atribuindo riscos como baixa, média ou alta. Muitas organizações fazem não gosto de usar apenas três categorias e pode atribuir risco usando um sistema de classificação, número tais como 1-10 ou porcentagens. É fundamental usar qualquer método que o cliente usa quando atribuição de níveis de risco -torna tudo mais suave.

Julgamento de especialistas Também conhecido como o método Delphi, os pareceres de peritos usa especialistas no assunto compreender o risco, usando análise qualitativa. Figura 7.4 é um exemplo do processo. Estágio 1 envolve enviar um questionário para especialistas no assunto, solicitando a sua entrada no nível de um risco. Uma vez que os especialistas no assuntoprestar os seus contributos, os dados são fornecidos ao pesquisador anonimamente como Fase 2. O pesquisador pode então compilar os dados (Fase 3) e apresenta as suas conclusões de volta para os especialistas para a sua entrada (Fase 4). Dependendo de como as diferentes

O que é o risco?

Especialistas no assunto

Composto feedback

FIGURA 7.4 Julgamento de especialistas

Investigador


resultados são, o pesquisador pode perguntar aos peritos para fornecer dados adicionais sobre o feedback composto. Este loop de compor feedback e reenviar para os especialistas podem ocorrer várias vezes, até que a métrica de risco é bem definido. Exigindo o anonimato dos resultados, opiniões imparciais podem ser coletados por o pesquisador, mesmo que sejam contrárias ao interesse do cliente ou cliente. Com testes de penetração, o emprego de pareceres de peritos é útil ao tentar priorizar a criticidade de reparação de riscos identificados. Quando todas as vulnerabilidades foram verificados, especialistas no assunto será capaz de rapidamente categorizar cada risco de acordo com a gravidade, permitindo que o pesquisador para apresentar a lista de riscos de uma forma que o cliente pode alocar remediação financiamento de uma forma razoável, começando com a mais grave e terminando com os riscos mais baixos.

Distribuição de Probabilidade Ao usar distribuição de probabilidade, um método misto precisa ser usado para criar métricas de risco. Dois fatores, muitas vezes usado para entender a relação é de probabilidade e impacto. Esses dois fatores podem ser obtidas usando dados mensuráveis, para fornecer uma matriz semelhante ao encontrado na Figura 7.5. Uma vez que a probabilidade de ocorrência foi mapeado com um impacto para apresentar uma maneira de medir o risco, o nível de aceitação de riscos precisa ser identificados, tais como baixa, média ou alta. Atribuição de níveis de risco é de natureza qualitativa e pode ser diferentes de acordo com cada stakeholder. Por exemplo, um gerente responsável para um sistema dentro de uma grande empresa pode considerar a perda de US $ 100.000 como graves, enquanto que a empresa-cabeça trimestres pode considerar esse tipo de perda 1,0como insignificante. Em muitos casos, usando a estacaDe alto risco

Probabilidade de ocorrência

entrada de titular para onde os níveis de risco deve ser é útil na identificação de onde o baixo, médio e altos níveis de risco devem cair dentro da matriz de probabilidade. Risco médio é R k

Análise de Sensibilidade

De baixo risco

0,0 $ 0,00

$ 100 k

Impacto

Figura 7.5 Distribuição de Probabilidade

Outra forma de representar riscos é usar análise de sensibilidade, que identifica riscos que têm o maior potencial impacto sobre o sucesso do projeto. Figura 7.6 ilustra a sensibilidade análise e impacto financeiro, no entanto, o impacto poderia também ser representado como tempo de inatividade ou perda de serviço ao cliente.


Usando análise de sensibilidade, a peneengenheiro de teste tração pode listar os itens que poderia ter o maior impacto para um negócios, independentemente do custo. Este iria permitir que os clientes a priorizar remediação, independentemente do custo. Análise de sensibilidade pode ser quantitativa ou qualitativos, dependendo dos dados usado para atribuir impacto para o risco. O impacto financeiro associado com downtempo pode certamente ser quantitativamente definido, mas a satisfação do cliente é muito mais fácil para definir usando um qualitativos ou um método misto de análise.

De risco 1 De risco 2 De risco 3 De risco 4 Risco de 5 Risco 6

Impacto (tempo ou de custo)

Figura 7.6 Análise de Sensibilidade

Valor Monetário Esperado Às vezes, o dinheiro é o único fator decisivo entre as opções de remediação. O análise do valor monetário esperado, como pode ser visto na Figura 7.7, utiliza uma árvore de decisão para identificar algumas ou todas as opções de remediação disponíveis para um cliente. A árvore de decisão na Figura 7.7 permite que o cliente a aceitar o risco ("fazer nada "), evitar o risco (por desligar o sistema por completo), ou mitigar o risco usando uma das duas escolhas. Este método permite a gestão para melhor compreender o impacto financeiro das decisões tomadas.

Escolha um

Custo de implementação: $ 1 milhão Perda potencial de receita depois da implementação: $ 100 k / ano

Escolha 2

Custo de implementação: 100 milhões dólares Perda potencial de receita depois da implementação: $ 10 k / ano

Mitigar

Risco

Decisão

Aceitar

Figura 7.7 Análise de valor monetário esperado

Evitar

Custo de implementação: $ 0 Perda de receita: US $ 100 milhões / ano

Custo de implementação: $ 0 Perda potencial de receita: US $ 10 milhões / ano


Análise de Árvore de Decisão Árvores de decisão também pode ser usado para identificar as escolhas que incorporam adicionais informação além do valor monetário. Figura 7.8 ilustra o uso de uma árvore de decisão para identificar as escolhas que mitigar um risco específico -um exploit, neste caso. Com base em as informações fornecidas na árvore de decisão, a administração pode fazer escolhas que irá incluir outros fatores também.

Modelagem e Simulação Também conhecido como Monte-Carlo, modelagem e simulação pode ser um método de identificar a freqüência de um evento. Figura 7.9 ilustra uma maneira de coletar dados utilizando um ambiente simulado. Um total de re-criação de um sistema de rede e afins nem sempre é necessário -a simulação muitas vezes pode ser re-criado em uma escala menor ou por representações matemáticas. Como um exemplo de como utilizar modelagem para identificar o risco, assumir que quer encontrar fora a taxa de sucesso de ataques contra uma rede trivial. Se tivermos acesso a um rede de teste, podemos executar ataques automatizados para ver quantos sistemas são comprometida com sucesso e usar os resultados para fornecer métricas de risco. Em um menor escala, poderíamos usar diferentes ferramentas automatizadas contra uma vulnerabilidade conhecida em um único sistema e ver como muitas ferramentas com sucesso identificar e explorar a vulnerabilidade. Modelagem também pode ser usado para determinar a eficácia das defesas de rede como bem -detecção de intrusão ou regras de firewall podem ser examinados para a eficácia na para identificar ou prevenir ataques de diversas complexidades. Os sucessos de ataque de falhas podem ser usados para criar métricas de risco.

Escolha um

Nível de habilidade necessária para explorar: HIGH Impacto da exploração: LOW Custo para mitigar: LOW

Escolha 2

Nível de habilidade necessária para explorar: LOW Impacto da exploração: HIGH Custo para mitigar: HIGH

Mitigar

Risco

Decisão

Aceitar

Figura 7.8 Análise de Árvore de Decisão

Evitar

Nível de habilidade necessária para explorar: LOW Impacto da exploração: HIGH Custo para mitigar: NONE


Figura 7.9 Análise de Modelagem e Simulação


Monte-Carlo Simulation O termo Monte-Carlo refere-se ao casino Monte-Carlo, no Mónaco e foi cunhado no interior de avaliação de risco por causa de modelagem e simulação pode ser usada para injetar aleatoriedade em análise. Um dos papéis principais de um verificador da penetração profissional é "Pensar fora do caixa ", e usando uma simulação de Monte-Carlo forças do engenheiro para fazer exatamente isso.

ISSAF Embora os métodos de análise descritos no PMBOK são úteis dentro de um projeto de teste de penetração profissional, eles são genéricos, destinados ao uso em qualquer circunstância não mas adaptado a qualquer tipo específico de projeto. Podemos olhar para as diferentes metodologias pentest para mais métodos especializados de atribuir métricas para riscos -para exemplos específicos, por favor visite os manuais próprios.


Ao tomar riscos técnicos e de negócio em conta, o engenheiro pentest tem mais flexibilidade na atribuição de um risco global para uma vulnerabilidade descoberta. Ele também faz stakeholders mais receptivos com as métricas de risco, bem -engenheiros estar convencido de que o aspecto técnico do problema foi resolvida, e gestão será convencido de que o conjunto dos interesses de negócios da empresa foram incorporados a atribuição de risco. Outra vantagem de usar a matriz técnico / comercial é que ele é simples de compreender para todos os interessados; pessoas estão acostumadas a ver riscos listados como baixa, médio ou alto. No entanto, há problemas. A maioria dos proprietários do sistema vai querer rank seus próprios dispositivos como críticas para o negócio, independentemente da realidade. O medo é que, se um sistema ou rede não é considerada tão importante na organização, o sistema pode ser eliminado. As categorizações de risco, tanto técnicos e de negócios são principalmente qualitativos, o que requer cuidado e iterativo de análise para ser preciso.

OSSTMM O OSSTMM utiliza três aspectos dentro de um sistema para determinar o risco geral à segurança da informação -operações, controles e limitações. Cada aspecto é determinada utilizando diferentes entradas, apropriadas para o aspecto (Herzog, 2008): ■

Segurança Operacional ❐ Visibilidade ❐ Acesso ❐ Confiança

■

Controles ❐ Autenticação ❐ Indenização ❐ Resistência ❐ Subjugação ❐ Continuidade ❐ Não-repúdio ❐ Confidencialidade ❐ Privacidade ❐ Integridade

■

Alarme ❐ Segurança ❐ Vulnerabilidade ❐ Fraqueza ❐ Interesse ❐ Exposição ❐ Anomalia


Cada componente aspecto é atribuído um valor com base em vários critérios, como definido na OSSTMM, como o número de alvos, a quantidade de métodos de autenticação em cada sistema, e número de vulnerabilidades, para citar apenas alguns. Adicionais fórmulas matemáticas são utilizadas para finalmente obter um risco métrica para a rede ou sistema alvo, o que reflete o risco à segurança global para o negócios stakeholders. A vantagem em utilizar o método de obtenção de OSSTMM métricas de risco é tudo aspectos da segurança de um sistema são refletidos no valor de risco. A desvantagem para usando o método OSSTMM é a complexidade matemática é difícil de explicar às partes interessadas, que muitas vezes precisam entender o algoritmo subjacente utilizado para atribuir risco. Muita complexidade pode ser tão prejudicial como muito pouco complexidade, quando apresentam um risco para os clientes.

Gerado ferramenta de Relatórios de

Outra maneira de criar métricas de risco é deixar alguém fazer todo o trabalho. Muitos ferramentas automatizadas irá atribuir os riscos para as vulnerabilidades, que podem ser simplesmente transferidos a todos os relatórios enviados às partes interessadas. A vantagem de usar os níveis de risco fornecidas pelo organizações de terceiros é que dá credibilidade adicional para o relatório. Figura 7.10 é um screenshot de uma varredura contra o servidor Nessus pWnOS. A partir das informações fornecidas no scan, podemos ver que atribuiu o Nessus pWnOS servidor de um nível de alto risco por causa de uma vulnerabilidade no Secure Shell (SSH) aplicação. Usando o scanner Nessus para atribuir risco, podemos economizar muito tempo e esforço em nossa análise. No entanto, existem desvantagens para o uso de terceiros resultados. Um problema é que não sabemos como os valores de risco foram determinados. Se o cliente quer saber o algoritmo por trás da atribuição de risco, pode não ser possível fornecer um resposta, que pode resultar em um cliente desapontado. Outro problema é que o risco avaliação pode ser errado porque não conseguiu identificar a vulnerabilidade real corretamente. Além disso, os valores são baseados em um tipo genérico de arquitetura (se o servidor não estava conectado a uma rede, os riscos seriam certamente muito menor). Nós vamos descobrir na segunda parte deste livro que há uma maior vulnerabilidade na porta 10000, que podem ser explorados para obter qualquer arquivo no sistema.

Ferramentas e Armadilhas ... Nessus Plugins

O Nessus plugins que descobrem vulnerabilidades e atribuir valores de risco pode ser modificado. Se um nível de risco particular está determinado a ser muito baixa ou alta, os resultados podem ser alteradas para refletir o nível adequado de risco. Tenha cuidado para não alterar um nível de risco simplesmente para "Melhorar" um rede ou sistema de postura geral de segurança, apenas para aplacar gestão.


Figura 7.10 Nessus Scan de pWnOS Server

A terceira desvantagem é que não podemos usar um sistema de pontuação diferente para além o que foi que nos é fornecida pelo aplicativo de terceiros. Se quiséssemos usar uma escala numérica para representar os riscos identificados na Figura 7.10, estaríamos supondo sobre os valores a atribuir a alta numerosas, médio e baixo risco identificados no a digitalização. Uma atribuição incorreta pode ser muito caro para uma organização que tenta remediar os riscos de acordo com a prioridade.

RESUMO Usando a métrica de risco correta é importante em persuadir as partes interessadas a criticidade de abordar os riscos encontrados durante um teste de penetração profissional. O método utilizado


atribuir níveis de risco deve ser adequada às expectativas do cliente e apresentados de uma forma que o cliente vai entender. Só porque a maioria da indústria utiliza métricas de risco alto / médio / baixo e atribui vermelho / verde / amarelo para cada nível respectivo, isso não significa que os interessados querem para ver os níveis nos seus relatórios. Se as partes interessadas estão acostumadas a usar um número escala, pentest descobertas precisam ser escritas para corresponder as expectativas das partes interessadas. Se um cliente está acostumado a ver relatórios e conclusões produzidos através quantitativa análise, eles provavelmente vão hesitar em colocar qualquer valor em um relatório que usa apenas entrevistas ou questionários para descobertas. Adequar a análise de risco para atender a indústria expectativas, por isso o cliente estará mais receptivo e sensível ao relatório final. O uso de avaliações de terceiros pode ser usada como uma vantagem, especialmente quando lidar com novos clientes. Os interessados podem precisar de aumentar a sua confiança antes de simplesmente reagir em uma palavra pentest engenheiro, especialmente se uma relação de trabalho ainda não tenha sido estabelecida. No entanto, é arriscado para simplesmente assumir a terceira avaliações do partido são válidos para todas as redes e sistemas. Configurações únicas pode As soluções FAST mudar o "Default"da valor de umTRACK sistema e alterar o risco real também.

Métodos quantitativos, qualitativos e mistos ■

Método de análise quantitativa utiliza dados mensuráveis para avaliar e atribuir níveis de risco.

■

Se os dados quantitativamente mensuráveis é pequena ou apenas de um curto período de tempo, a precisão das métricas podem ser distorcidos.

■

Método de análise qualitativa utiliza para formular opiniões e atribuir níveis de risco.

■

Na análise qualitativa, as opiniões podem ser tendencioso e influenciado por fatores externos fatores, incluindo a mídia ea pressão dos pares. Cuidadosa seleção de sujeitoperitos da matéria é fundamental, para eliminar o preconceito. Um método misto utiliza análise quantitativa e qualitativa, para a obtenção de risco valores.

■

■

Um método misto de análise leva uma quantidade significativa de tempo mais do que o métodos quantitativos ou qualitativos e é mais caro.

Metodologias atuais ■

O PMI oferece numerosas, de alto nível métodos de avaliação de risco, mas não não se concentrar em nada específico para testes de penetração profissional.

■

O ISSAF fornece alguns métodos simples mas eficaz do risco atribuir.

■

O OSSTMM leva vários fatores em consideração na atribuição de risco, mas requer uma quantidade maior de esforço.



Posso usar membros da equipe como pentest especialistas no assunto, quando atribuição de risco?

A:

Absolutamente, mas nem sempre é o melhor caminho. Membros de uma equipe pentest podem ver as vulnerabilidades de um modo diferente do resto da Informação Indústria de segurança porque eles estão expostos a todas as vulnerabilidades exploráveis o tempo. Freqüência de ataque, defesas de rede, e de toda a indústria uso de uma aplicação vulnerável precisa ser levado em conta antes de atribuir risco, que nem sempre ocorrem em pequenos grupos isolados, como um pentest equipe.

Q: A:

Posso continuar a usar a análise quantitativa, embora eu não tenho um monte de dados? Às vezes, a pentest engenheiros devem usar o que há dados disponíveis a eles, mesmo que não é suficientemente grande o suficiente de um ponto de vista estatístico. O perigo é que uma decisão tomada por causa dos dados fracos nunca é seguido em cima. Se uma decisão é tomada sem informações suficientes, a equipe deve pentest revisão do risco em uma data posterior, quando a informação adicional e relevante é reunidos para que o risco pode ser atribuído corretamente.

Q: A:

O que é melhor -um nível de risco de terceiros ou algo feito in-house? Para uma organização apenas começando, o uso de uma análise de terceiros de risco É preferível algo feito in-house. Ao longo do tempo, os dados de terceiros deve ser modificado para refletir o risco real presente em uma rede corporativa. Se o pentest engenheiros têm conhecimento suficiente da rede de destino, têm experiência suficiente na realização de análise de risco, e usar uma estrutura bem definida metodologia, o resultado final será um risco muito focado e pertinente de avaliação.

Referências Herzog, P. (2008). Open source testes de segurança metodologia manual (OSSTMM). Obtido em Instituto para a Segurança e Open Web site Metodologias: www.isecom.org/osstmm/ Mertvago, P. (1995). O dicionário Russo-Inglês comparativa de provérbios russos e provérbios. New York: Livros Hippocrene.

CAPÍTULO

Gestão de uma pentest

8

SOLUÇÕES NESTE CAPÍTULO Membros da equipe de projeto ............................................... .............................. 197 Project Management ................................................ ................................ 206

INTRODUÇÃO Возле людей потирайся, да ума набирайся. -Provérbio russo: "O mais você sair com pessoas, quanto mais você escolher seus cérebros. " (S. Aguryanov, comunicação pessoal, 28 de abril de 2009)

Gerenciando uma equipe de teste de penetração é diferente da gestão de pessoas em vendas, humana recursos, atendimento ao cliente, ou marketing. Os engenheiros em um pentest equipe são muitas vezes "Geeks" como explicado no livro de Paul Glen intitulado Leading Geeks. Glen tentativas de quantificar a dificuldade de gestão, definindo geeks geeks como "Altamente inteligente, geralmente introvertido, extremamente valioso, independente-mente, difícil de encontrar, difíceis de para manter os trabalhadores-tecnologia "(Glen, 2003). Com esses tipos de traços de personalidade, gerentes são tributados para encontrar maneiras de manter pentest engenheiros motivados. Este capítulo expande a discussão de alto nível do Project Management Corpo de metodologia Knowledge (PMBOK) encontrada no Capítulo 6. Discutiremos como gerenciamento de projeto se encaixa dentro de uma organização e as considerações que precisam ser feitas durante a vida de um projeto profissional teste de penetração por de gestão.

EQUIPE DE PROJETO Os membros de uma equipe de teste de penetração variar drasticamente, com base organizacional estrutura da empresa que cria e mantém a equipe. Para um pentest Teste de Invasão profissional Copyright © 2010 by Syngress Press Inc. Todos os direitos de reprodução em qualquer forma reservada.

197

198 CAPÍTULO 8 Gestão de uma pentest

grupo a ser bem sucedida, eles vão precisar de apoio de fora da equipe e qualificados gestão dentro da equipe. A imagem popular de uma equipe de teste de penetração é semelhante ao de ninjas -escondido e camuflado, aliviado por constrangimentos mundanos, armada com poderosa e única ferramentas, e capaz de completar qualquer missão. A realidade é que profissionais membros teste de penetração que trabalham nas grandes organizações são apanhados em todas as a mesma vida corporativa como o resto de nós -inter-office política, folhas de tempo, apertado cubículos, computadores underpowered, reuniões intermináveis, recursos humanos apreções, brocas de fogo, formação de equipe de eventos, pot-luck almoços, eo inevitável corcorporativa reorganização. Esta seção vai discutir os papéis e responsabilidades dos diferentes penetração membros de teste da equipe e das partes interessadas e identificar os aspectoschave necessário para manter uma equipe pentest capaz. Também vamos procurar formas que um Pentest equipe pode ser organizada dentro de uma empresa e como melhorar a chances de sucesso de um pentest projeto.

Papéis e Responsabilidades Composição de uma equipe de profissionais teste de penetração pode variar drasticamente, dependendo do escopo do projeto e da estrutura organizacional. Os papéis e responsabilidades será chamada de maneira diferente, de acordo com as práticas aceitas; howEntretanto, existem algumas posições, independentemente da influência externa de uma empresa. Estrutura corporativa organizacional afetará uma equipe de teste de penetração em termos das responsabilidades de cooperação, para além das fronteiras do departamento e de recursos aquisição. Figura 8.1 ilustra uma estrutura típica de organização de uma penetração equipe de teste, mostrando os membros que fornecem uma função única dentro de um Pentest equipe. É possível que várias posições dentro da estrutura típica na Figura 8.1 são preenchida pela mesma pessoa. Um exemplo seria o pentest gerente atuando também como gerente de projeto ou mesmo preenchendo como uma pentest engenheiro quando necessário. No entanto, os papéis ainda existem, mesmo se preenchido por um indivíduo.

Team Champion O campeão da equipe, como visto na Figura 8.2, é muitas vezes um gerente de nível superior que apoiará os esforços da equipe de teste de penetração em toda a empresa maior organização. Quanto maior a cadeia gerencial campeão a equipe está, a melhor o pentest equipe e seus projetos serão apoiados e defendidos; No entanto, o campeão da equipe não tem que estar na cadeia de gestão de a equipe de teste de penetração nem só precisa ser uma pessoa. Quanto mais alta defensores nível há que testes de penetração de apoio e informação segurança, melhor. Se a equipe pentest existe fora da empresa, é fundamental para obter um campeão da equipe dentro da organização do cliente, especialmente se a decisão de

Membros da equipe do projeto 199

Equipe campeã (Nível C)

Pentest gerente

Projeto gerente

Pentest engenheiro

Pentest engenheiro

Pentest engenheiro

FIGURA 8.1 Estrutura organizacional típica de um pentest Team

Equipe campeã (Nível C)

• Como no alto da escada corporativa quanto possível (de preferência em os de nível C (CIO, COO, etc) • Capaz de influenciar decisões nas unidades de negócios • Disposto a defender as necessidades do projeto pentest • Capaz de remover obstáculos para a equipe pentest • Proactive na promoção da necessidade de testes de penetração

FIGURA 8.2 Team / Project Champion

realizar um teste de penetração é um confronto. Gestores do sistema e da rede pode perceber uma pentest como um desafio à autoridade ou segurança do trabalho; esses mesmos gerentes se tornam obstáculos, com a intenção de ter o teste de penetração falhar miseravelmente. Para superar os obstáculos, a equipe campeã é muitas vezes chamada a resolver diferenças, incentivar discurso, e aumentar as chances de sucesso para a Pentest projeto. Se a equipe pentest existe dentro de uma empresa, um campeão da equipe pode ser ainda mais útil, especialmente em organizações funcionais, ou taylorista,. A capacidade de participação influência e cooperação em todas as linhas de negócios é uma habilidade importante, que pode melhorar o sucesso de um teste de penetração. Unidades de negócios são freqüentemente focadas em manter o sistema on-line e disponíveis segurança raramente é considerada no dia-a-dia de fazer dinheiro. O


introdução de segurança em uma unidade de negócios de ciclo de desenvolvimento é muitas vezes visto como um empecilho no melhor e no pior dos casos um obstáculo. A equipe campeã, especialmente uma alta na estrutura organizacional das empresas, muitas vezes podem colocar bastante pressão indireta sobre gestão de unidade de negócios para incentivar a participação com o teste de penetração equipe. Sem uma equipe campeã, a equipe pentest será simplesmente ignorado eo projeto irá falhar.

Gerente de Projeto

A inclusão de um gerente de projeto de talento pode melhorar muito as chances de sucesso para projetos de teste de penetração, mostrado na Figura 8.3. Em grandes organizações com uma equipe permanente teste de penetração, o gerente de projeto é geralmente alguém intimamente familiarizado com PenTesting. Em organizações menores, ou organizações que fazer projetos de teste de penetração muito poucos, o gerente de projeto pode não ter qualquer compreensão de como um pentest profissional deve ser gerenciado ou que riscos existem para o sucesso do projeto em si. Embora a inclusão de um gerente de projeto pentest sem experiência pode não condenar o pentest projeto ao fracasso, ele faz aumentar a carga de trabalho de ambos os gerente de projeto e os engenheiros da equipe porque o gerente de projeto deve pedir um monte de perguntas para os engenheiros já familiarizados com testes de penetração profissional, o que naturalmente diminui os engenheiros para baixo, porque eles continuam tendo que responder as perguntas. Um erro muito comum pela gestão interessados em iniciar um equipe de teste de penetração profissional é selecionar um engenheiro dentro da organização para ser o gerente de projeto. A profissão de gerente de projeto é dramaticamente diferente da de um engenheiro; jogando um engenheiro para o trabalho de projeto gerente -especialmente sem a formação adequada de gerenciamento de projetos -é uma ótima maneira de assegurar que um pentest projeto falhará.

Pentest Engenheiros Sem incluir testadores de penetração qualificados na equipe, o projeto não pode suceder. O conjunto de competências dos engenheiros incluídos no pentest equipe deve ser combinados com os objetivos de negócios corporativos eo software / hardware utilizado na organização, como ilustrado na figura 8.4. Para muitas organizações, a obtenção qualificados engenheiros de teste de penetração é difícil, porque a profissão é tão especializado, de forma justa novo, a demanda e está crescendo. Para as empresas que não podem contratar engenheiros qualificados, eles devem treinar a equipe para tornar-se hábil.

Projeto gerente

FIGURA 8.3 Gerente de Projeto

• Planos, organiza e gerencia a execução do projeto • Formação em gestão de projetos - não um engenheiro atribuído a posição • De preferência, um gerente de projeto familiarizado com o teste de penetração


Habilidades • corresponder à rede / sistemas presentes no negócio ambiente • Especializada em testes de penetração - ofensiva • Não é necessário para fazer a auditoria - de defesa • Programa de formação em lugar de manter as habilidades atuais • Em alta demanda e poucos em número

Pentest engenheiro

Pentest engenheiro

Pentest engenheiro

Figura 8.4 Teste de penetração Engenheiros

Por causa da natureza de constante mudança de penetração de segurança da informação, engenheiros de teste exige treinamento extensivo, incluindo cursos de educação continuada. Sem um orçamento de treinamento forte e apoio por parte da gestão de penetração, testadores devem confiar em suas próprias habilidades para acompanhar as últimas tendências dentro do área de invasão do sistema, que é raramente possível. A inclusão de um treinamento programa e orçamento permite pentest engenheiros para obter uma formação focada em um área específica dentro de testes de penetração, como hacking de aplicativos da Web, banco de dados exploração, e engenharia reversa. Testadores de penetração não deve ser visto como auditores ou solicitado a realizar auditoria tarefas como parte de seu emprego. Um auditor é geralmente encarregado de determinar como fechar uma organização segue os seus procedimentos documentados, enquanto que um verificador da penetração poderia me importar menos. O engenheiro de teste de penetração olha para explorar sistemas, independentemente dos processos que envolvem o sistema e, portanto, requer um maior nível de conhecimento sobre o sistema -eles podem detalhes como melhorar o sistema procedimentos, mas apenas com a conclusão do pentest projeto.


Pentest Engenheiro Tasking Engenheiros de teste de penetração requerem conjuntos de habilidades completamente diferente em comparação com os auditores, apesar do fato de ambas as profissões se concentrar em segurança do sistema de informação. O diferenças são muitas vezes vistos na mentalidade -auditores, muitas vezes acho que defensivamente, enquanto testadores de penetração pensar ofensivamente. Apesar de testadores de penetração pode ser capaz de transição no campo de auditoria mais fácil do que os auditores possam transição para testes de penetração, tanto profissões são muito diferentes o suficiente para que eles devem ficar separados.


Estrutura Organizacional O PMBOK identifica três tipos de organizações -funcional, matriz e projetizada (Glen, 2003). Em grandes organizações, a estrutura organizacional de uma equipe de teste de penetração vai depender da indústria, a idade da organização, e o estilo de gestão de cima para baixo da gerência superior.

Organização funcional A organização funcional é o modelo típico taylorista, onde o trabalho é dividido acordo com a função. Em um sistema de Taylor estrito, uma empresa está segmentada em grupos, tais como Tecnologia da Informação (TI), Operações e Finanças. Cada nível baixo também é segmentado, como a TI pode ser separada em Pesquisa e Desenvolvimento, Serviços de Rede e Suporte. A vantagem de uma organização funcional é que cada grupo terá recursos e funcionários que são sensíveis à organização funcional. Em Figura 8.5, podemos ver um exemplo de uma estrutura organizacional funcional, onde o gerente de pentest tem uma equipe que responde apenas ao pentest gerente. Existem muitos inconvenientes para uma organização funcional. O principal desvantagem é que cada gerente funcional opera independentemente de outras departamentos. Usando a organização de TI como um exemplo, é possível que o Departamentos de pesquisa e desenvolvimento, serviços de rede, e suporte seria cada um tem sua própria equipe de teste de penetração. Embora o trabalho de slots adicionais podem ser visto como positivo para testadores de penetração profissional, há um monte de desperdício recursos dentro de uma estrutura taylorista.

NOTA Taylorismo é um termo para descrever os achados de Frederick Winslow Taylor na melhoria fluxo de trabalho. Presidente da Sociedade Americana de Engenheiros Mecânicos, Taylor tornou-se bem conhecido por seu trabalho em termos de eficiência científica, que é o fundamento da funcional desenho organizacional (Taylor, 1915).

Além de desperdício de recursos, uma organização funcional tem a desvantagem de criar brechas de segurança dentro da corporação. A equipe de teste de penetração que trabalham em o departamento de Pesquisa e Desenvolvimento só se preocupam com a arquitetura design de um novo projeto. Quando o novo projeto é colocado em produção, o Serviços de Rede departamento só pode examinar as configurações do sistema, enquanto o departamento de suporte só pode examinar o apoio administrativo sistemas. Nestes três casos, ninguém iria analisar o novo projeto a partir de uma maior perspectiva, a inclusão de fluxo de dados entre redes, relações de confiança, a rede defesas, o acesso físico, ou ameaças de engenharia social. No mundo real testes de penetração, muitas das maiores empresas são organizadas projetos junto taylorista. A organização funcional é provavelmente um dos piores desenhos para projetos de testes de penetração profissional, que não podem ter acesso a


Executivo

Pentest gerente

Funcional gerente

Funcional gerente

Pentest engenheiro

Pessoal

Pessoal

Pentest engenheiro

Pessoal

Pessoal

Pentest engenheiro

Pessoal

Pessoal

Figura 8.5 Organização funcional

todos os recursos necessários e os conhecimentos necessários para proteger os objetivos de negócio da corporação. No entanto, é difícil tentar uma revolução na organização estrutura dentro destas grandes empresas, especialmente se a única justificativa é uma (Tipicamente) pequena equipe de engenheiros de teste de penetração.

Matrix Organização A organização matricial tenta propagar-se recursos na horizontal, em vez de reter -los em uma estrutura vertical, como é encontrado em taylorismo. Figura 8.6 é um exemplo de um tipo de uma estrutura matricial de organização. A vantagem de uma matriz é que talentos podem ser obtidas através dos departamentos diferentes para um projeto, que vai trazer diferentes experiências e conhecimentos para o projeto. Outra vantagem é que os recursos podem ser compartilhados de forma mais eficaz em todos os departamentos, e projetos, muitas vezes, examinar questões de segurança com uma maior e mais abrangente nível.


Executivo

Funcional gerente

Funcional gerente

Funcional gerente

Pessoal

Pessoal

Pessoal

Pessoal

Pessoal

Pessoal

Pentest gerente de projeto

Pentest engenheiro

Pentest engenheiro

Figura 8.6 Matrix Organização

A desvantagem é que organizações matriciais autoridade sobre os membros do pessoal torna-se complexa. Não apenas um engenheiro de teste de penetração ter um funcional gerente de dentro da cadeia sua liderança, ele ou ela também deve informar aos Pentest gerente do projeto, que pode vir de um departamento diferente. Quando o engenheiro precisa relatório a várias correntes de gestão, os conflitos de tempo e carga de trabalho irá se apresentar. O "Vencedor" de tempo que o funcionário vai depender de onde a corporação lugares poder dentro de uma organização matricial. Em uma matriz fraca, o funcional gerente será capaz de controlar as designações de pessoal mais do que o gerente de projeto, enquanto uma forte matriz lugares mais do poder nas mãos do projeto gerente. A organização matricial é raramente usada como um método definido de nível corporativo de gestão. Muitas vezes, uma matriz é usada ocasionalmente, quando um projeto de alto nível é criado. Membros da equipe irá passar a maior parte de seu tempo satisfazer as demandas de seu chefe funcional, até que a tarefa de um projeto de cross-departamento. A quantidade


da autoridade do gerente de projeto tem, muitas vezes, dependem de quem o projeto stakeholders são e como alta na organização o campeão de projetos reside.

Organização projetizada Em uma organização taylorista, o gerente funcional tem todo o poder e responsabilidade sobre a equipe de teste de penetração. O que acontece se o gerente funcional é totalmente substituído por um gerente de projeto? Temos uma organização por projeto, como visto na Figura 8.7. Similar ao modelo de organização funcional, os funcionários têm um único relatório para a duração do projecto -o gerente pentest projeto. Ao contrário dos funcionais organização, os funcionários são selecionados a partir de diferentes departamentos, semelhante a um organização matricial. Membros da equipe pode ser trocada, bem como, dependendo do necessidades e estágio atual do projeto.

Executivo

Pentest projeto gerente

Projeto gerente

Projeto gerente

Pentest engenheiro

Pessoal

Pessoal

Pentest engenheiro

Pessoal

Pessoal

Pentest engenheiro

Pessoal

Pessoal

Figura 8.7 Organização projetizada


A partir de uma posição de gerente de projeto, a organização por projeto fornece a maior independência e flexibilidade na obtenção de recursos necessários para um projeto. Para os engenheiros, uma organização projetizada aumenta a chance de crossformação e partilha de conhecimentos. Uma desvantagem para projetizada estruturas organizacionais é que os engenheiros fazem não desenvolver qualquer equipe ou lealdade projeto. O mais freqüente é o engenheiro passou de projeto para projeto, o mais difícil é para motivar o engenheiro. Outra desvantagem é que a realidade muitas vezes varia dramaticamente de teoria. Projeto gestores de organizações do mundo real projetizada realizará em recursos, em vez de liberá-los depois que o recurso não é mais necessário. Em alguns casos, é a assegurar que os recursos estão disponíveis para um próximo projeto, mas muitas vezes isso é um retrocesso às organizações funcionais.

NOTA Uma coisa não discutido nos exemplos de organização é "Qual organização trabalha melhor para uma equipe de teste de penetração? "Cada estrutura organizacional tem suas vantagens e desvantagens, e nenhum deles são "O melhor ", embora alguns são melhores do que outros. O desafio para os gerentes de projeto de teste de penetração é de aproveitar os aspectos positivos dentro de qualquer organização está no lugar e mitigar as desvantagens.

PROJECT MANAGEMENT No Capítulo 6, discutimos as diferentes fases dentro do PMBOK e que alguns dos processos foram. Nesta seção, discutiremos como alguns dos processos relacionam especificamente com testes de penetração profissional. Como um lembrete, há estágios dentro de um projeto: Iniciação, Planejamento, Execução, e Encerramento. Estes quatro estágios têm a supervisão através do Monitoramento e Controle de processos. Ao invés de repetir o que foi discutido no Capítulo 6, vamos apenas toque nas áreas onde são preocupações exclusivas para testes de penetração.

NOTA Muitos dos temas discutidos nesta seção também são discutidos na Parte 2 deste livro. Este capítulo irá permitir que o gerente do projeto de forma rápida referência algumas das questões em torno de um projeto de teste de penetração profissional. Parte 2 fornece exemplos adicionais e informação relativa e se expande sobre o que é coberto aqui.

Iniciar Estágio Há apenas dois processos no âmbito da fase inicial de um projeto -desenvolver projeto charter e identificar as partes interessadas. Embora o desenvolvimento de uma carta do projeto é um passo importante em um projeto de teste de penetração, as medidas necessárias não variam

Project Management 207

muito de outros projetos. Identificação das partes interessadas, no entanto, pode ter um maior impacto sobre o sucesso de um pentest projeto. Ao identificar as partes interessadas, a lista de "Interessados partes "precisa incluir mais de uma lista de gestores e os pontos de contatos. Toda vez que um sistema é examinado em um teste de penetração, há uma chance de o sistema irá travar. Por isso, proprietários do sistema precisam ser adicionados à lista de interessados. Esperemos que, uma peneteste de tração será notado por administradores de rede também. Quando (ou se) eles aviso, podem terminar o teste de penetração, adicionando filtros que bloqueiam o acesso. A capacidade de comunicar com os administradores de rede também é importante e deve ser adicionado à lista de partes interessadas. Há também uma chance de que a atividade ilegal pode ser identificado durante o curso de um teste de penetração, de modo contactos aplicação da lei precisam ser geradas, tanto local e federal. Se há um componente de teste físico penetração associados com o projeto, a aplicação da lei pode precisar de saber sobre isso também. O que se segue é uma lista de potenciais interessados em um teste de penetração:

■

Cliente / Organização do cliente 1. Patrocinador do projeto 2. Ponto de Contato 3. Gestão Senior 4. Manager Target System / Network (mais alta gerência) 5. Sistema Target / Rede administradores 6. Administradores de rede 7. Administradores de rede da Defesa

■

Team Test penetração 1. Gerente de Projeto 2. Manager funcional 3. Gestão Senior 4. Pentest Engenheiros 5. Departamento de Compras

■

Agências governamentais 1. Aplicação da lei local (quem pode estar respondendo a break-ins) 2. Investigadores policiais locais (se um crime é descoberto durante o curso da pentest) 3. Aplicação da Lei Federal (se um crime é descoberto durante o curso do Pentest que exige a notificação a nível nacional)

■

Grupos de Terceiros 1. Internet Service Providers 2. Especialistas no assunto / Consultores

Uma vez que uma lista foi desenvolvida das partes interessadas, uma estratégia de gestão deve ser desenvolvido. O propósito por trás de uma estratégia de gestão é identificar que tipo do impacto de cada stakeholder tem no sucesso do projeto (para bom ou ruim).


Ao identificar o impacto, o gerente de projeto pode criar uma estratégia em torno de cada das partes interessadas.

NOTA A lista de interessados acima é apenas uma amostra e não deve ser considerada abrangente. Quando um projeto de alto nível é lançado, o gerente de projeto será inundado com pedidos para ser adicionado às comunicações e notificações de eventos. Não é incomum para os gerentes de projeto para criar listas de email, onde alto nível de comunicação são enviado para grande número de pessoas, simplesmente para aplacar os "Stakeholders" que não têm influência ou interação com o projeto.

Um exemplo de identificação de impacto seria para identificar a aplicação da lei local, uma das partes interessadas. No caso de uma avaliação física, como parte de um teste de penetração, aplicação da lei local poderia ser visto como um obstáculo (eles prendem a penetração testers) ou como um activo (se a atividade ilegal é identificado durante o curso de um teste de penetração). Uma forma de atenuar o impacto negativo da prisão é o projeto gerente pode desenvolver uma estratégia em que um executivo está de plantão ou no local durante o componente de acesso físico do projeto para responder a quaisquer alarmes que pode ocorrer. Uma estratégia para tirar proveito da aplicação da lei como um ativo seria ter uma comunicação prévia com a divisão de crimes cibernéticos da aplicação da lei agência e desenvolver um plano de ação, caso algo seja descoberto.

Planejamento de Estágio

Na fase de planejamento de um teste de penetração, três processos que são muito importantes para um gerente de projeto para efetivamente desenvolver são os de Gestão de Riscos Plano, Identificar os riscos, e respostas aos riscos Plano. Gerenciamento de Projetos de risco dentro da fase de planejamento de um teste de penetração inclui riscos para não somente o projeto, mas os riscos identificados dentro da meta rede ou sistema. No capítulo 7, discutimos a dificuldade em risco atribuindo métricas para vulnerabilidades descobertas, principalmente porque há muitas vezes não é suficiente de toda a indústria de informação disponível para definir adequadamente o risco de dentro de um cliente rede. Normalmente, um gerente de projeto só incide sobre o risco para um projeto e não se preocupar com riscos de vulnerabilidade na rede de um cliente. No entanto, para um gerente de projeto que trabalha em projetos de teste de penetração com freqüência, é benéfica para desenvolver um registro de risco de riscos de vulnerabilidade. Ter uma vulnerabilidade Registro de risco irá acelerar um projeto de teste de penetração ao realizar análise de risco e dar continuidade em projetos de teste de múltipla penetração. Mesmo de terceiros avaliações são usados em riscos atribuir (como discutido no Capítulo 7), com o tempo eles pode ser adaptado para refletir as mudanças na segurança da informação. Através da manutenção de um risco Registro, alterações no registro de risco de vulnerabilidade pode ser rastreado, ao contrário de alterações de terceiros avaliações.


Desenvolvimento de um plano de recursos humanos exige que o gerente de projeto identificar os papéis e responsabilidades em um projeto, as competências necessárias durante o ciclo de vida do projeto, e funcionários que atendem as necessidades de recursos. Se a equipe nunca pentest mudanças, então o trabalho do gerente de projeto é (principalmente) feito, a menos que haja uma necessidade de trazer um consultor de terceiros para trabalhar em uma tarefa específica que não pode ser satisfeita por recursos de pessoal atual. Em projetos onde o gerente de projeto precisa obter recursos humanos adicionais outro departamento, o trabalho do gerente de projeto se torna muito mais difícil. Infelizmente, a maioria dos gerentes funcionais preferem liberar o pessoal não-críticos, quando forçado a desistir de alguém para um projeto fora do departamento, o que raramente melhor seleção para o projeto. Quando um gerente de projeto deve "Take o que recebem ", o projeto muitas vezes sofre. Para um gerente de projeto para efetivamente superar o obstáculo de ter pessoal sem formação ou sub-qualificados adicionado ao projeto, o projeto gerente deve planejar um treinamento adicional de antemão. Membros da formação pessoal do projeto não é tarefa fácil -geralmente o projeto já está em uma programação apertada que o treinamento tem que ocorrer em questão de uma semana ou apenas alguns dias. Se um gerente de projeto é muito bom, eles vão ter financiamento para a formação que pode ser usado para enviar pessoal para um campo de treinamento de segurança da informação. Se o gerente de projeto é como a maioria dos gerentes de projeto, eles têm zero financiamento para a formação e não pode se mover fundos suficientes para pagar em torno de terceiros treinamento. Existem diferentes técnicas que podem ser usadas para mitigar o problema da formação, incluindo: enviar uma pessoa à formação, que depois ensinar a outros membros da equipe (também conhecido como "Trem o treinador "); encontrar especialistas no assunto dentro da empresa, que poderá passar conhecimento (durante ou antes da fase de execução do projeto), ou alocação de tempo para auto-formação. Antes de deixar a fase de planejamento de um projeto, que deve tocar na aquisições. O gerente de projeto pode precisar adquirir recursos adicionais antes de o projeto começa testes de penetração real, tais como sistemas de computação, rede conectividade, ou pentest ferramentas. Geralmente há um atraso significativo entre o momento recursos são solicitados e quando eles realmente chegar. É possível, em grande organizações que um gerente de projeto pode tomar emprestado recursos de outro departamento, mas os recursos dentro de um teste de penetração são normalmente bastante especializados e pode simplesmente não estar disponível para empréstimo. Qualquer pessoa que gerencia um projeto de teste de penetração precisa estar ciente de quais recursos são necessários, como no início do projeto possível. Outra opção poderia ser o de desenvolver uma equipe de teste de penetração projetado especificamente Execução de Estágio para um tipo de alvo, tais como controle de supervisão e aquisição de dados (SCADA). Este A fase os de membros execução da é oequipe que a maioria quando elessobre pensam de penetração forma, não temdas quepessoas aprenderpensa constantemente protocolos diferentes, testes. Parae um gerentepara de projeto, esta fase no final de um projeto. aplicações sistemas, fazer um teste degeralmente penetraçãocomeça muito mais produtivo. A fase de iniciação e planejamento, muitas vezes consomem muito tempo na vida do


projecto, e a maioria dos gerentes de projeto são aliviados quando esta fase começa. Não é incomum para a fase de execução de um teste de penetração profissional para começar muitos meses, se não for mais de um ano, após o lançamento do projeto. Processos dentro a fase de execução, que são mais intensivos em um teste de penetração profissional A aquisição inclui a equipe do projeto, Desenvolver a equipe do projeto, e gerenciando As expectativas das partes interessadas. Na fase de planejamento, discutimos algumas das deficiências em torno aquisição e treinamento de membros da equipe para trabalhar em um pentest projeto. No execução fase, o gerente de projeto deve executar o plano de formação desenvolvido em o estágio de planejamento. Infelizmente, o treinamento é um teste de penetração incomum commodity e difícil de obter. Simplesmente não existem campos de boot demais ou cursos de formação destinado a ensinar técnicas de testes de penetração disponíveis. Em Capítulo 3, que abrangeu informações diferentes certificações de segurança disponíveis para o pentest engenheiro, que normalmente têm cursos de formação associadas à certificações. Também identificamos diferentes associações e organizações, que também podem ter cursos de formação que vão ao encontro das necessidades de formação em torno do projeto de teste de penetração. No entanto, para a formação muito especializada, de terceiros contratados são muitas vezes a única alternativa. Especialistas no assunto muitas vezes pode ser contratada para fornecer treinamento concentrado para uma equipe de teste de penetração. A vantagem na contratação de especialistas é que eles podem adaptar treinamento para satisfazer as necessidades específicas do pentest equipe, ao contrário do treinamento pré-construídos cursos apoiados por associações e organizações que o projeto de sua formação cursos para as massas. Por exemplo, não faz sentido para enviar o pentest pessoal para um curso de hacking genérico, quando eles realmente precisam se concentrar em estouros de buffer para um próximo projeto. O gerente de projeto deve garantir que a formação obtida corresponde às necessidades do projeto. Gerenciando expectativas das partes interessadas é difícil dentro de projetos de teste de penetração. Qualquer coisa que acontece durante um teste de penetração pode irritar um conjunto de partes interessadas e excitar o outro. Por exemplo, quando um engenheiro de teste de penetração identifica um vulnerabilidade, o administrador do sistema pode sentir que a descoberta é um pessoal ataque à habilidade do administrador. Em contraste, a alta gerência pode ser feliz que a vulnerabilidade foi descoberta de modo que a falha de segurança pode ser mitigados e da postura de segurança global da corporação melhorado. Durante um teste de penetração, um gerente de projeto deve equilibrar o tom e entrega de todas as comunicações com as partes interessadas para que a mensagem é transmitida sem criar obstáculos adicionais dentro do projeto. Isso não significa que precisa informações devem ser contaminado ou filtrada, na verdade, o oposto é verdadeiro. Se o gerente de projeto pode apresentar informações às partes interessadas de uma maneira muito factual, muitas vezes é mais fácil de digerir para todas as partes. Outra vantagem de manter os dados tão factual quanto possível é que as partes interessadas " expectativas são melhores atendidos. No início do teste de penetração, os interessados são muitas vezes esperando a PenTesters para identificar todas as vulnerabilidades em seus rede, e até o final de um teste de penetração, os interessados são, muitas vezes esperando soluções milagrosas. Muitas vezes, é o trabalho do gerente de projeto para esclarecer o que realmente


acontece durante um teste de penetração e que o documento final irá abranger. Se o gerente de projeto pode evitar a hipérbole e ater aos fatos, eles podem gerenciar melhor expectativas das partes interessadas. Um ponto típico de confusão entre as partes interessadas é como um teste de penetração é parte de um ciclo de vida de segurança da informação -não um ponto concluindo em desenvolvimento. É essencial que o gerente do projeto explica que um teste de penetração é simplesmente uma instantâneo no tempo e não um destino terminal.

Acompanhamento e Controle Na fase de monitoramento e controle de um teste de penetração, duas áreas que apresentam problemas particulares dentro de um teste de penetração profissionais são escopo e cronograma controle. Escopo dentro de um teste de penetração é freqüentemente ameaçada por descobertas que ocorrer durante a fase de execução, quando testadores de penetração estão ganhando footholds para a rede ou sistema alvo. Se as descobertas estão relacionadas aos sistemas de confiança, é mais fácil para um gerente de projeto para evitar que os engenheiros de trabalhar fora de escopo. Haverá ainda uma chamada pela pentest engenheiros para ampliar o alcance; No entanto, qualquer coisa fora do âmbito que aponta para vulnerabilidades adicionais podem ser listados no relatório final e seguiu com projetos futuros. No entanto, se novas descobertas a dica maior acesso dentro da meta (como raiz ou acesso de administrador), é muitas vezes difícil a reinar no engenheiros e manter -los na programação. O "Prêmio" de controle total do sistema é difícil de passar para os dois a penetração engenheiros de teste eo gerente do projeto. Há alguma justificação para permitindo que o cronograma do projeto de escorregar em muitos casos -um sistema não podem ser examinados novamente por ano, e encontrando como muitas vulnerabilidades no projeto atual possível proporcionará uma melhor compreensão da postura geral de segurança de um sistema. Se houver vulnerabilidades são deixados sem exame, o medo não dito é que o sistema será mais tarde explorados e da equipe de teste de penetração vai perder credibilidade. Gastando um pouco mais tempo e atingir a exploração total de uma caixa, não só satisfaz as competitivas natureza penetração muitos membros da equipe de teste possuem, mas também eleva o pentest equipe aos olhos do cliente e aumenta a chance de repetir negócios. As razões para permitir uma programação de escorregar nem sempre são legítimos. Muitas vezes, identificando qualquer vulnerabilidade é suficiente para uma reavaliação completa de segurança de um sistema arquitetura. Mesmo se uma vulnerabilidade recém-descoberta é deixado não verificadas, a final relatório pode identificar o que foi examinada, permitindo que os clientes para acompanhar conta própria ou solicitação de testes adicionais. Outro problema com que permite uma programação a escorregar é que ele pode impactar projetos futuros. Como já discutido, há uma série de atividades que ocorrem antes da fase de execução de um teste de penetração -perder uma semana ou dois podem impactar negativamente compromissos futuros.

Fechamento Stage

O PMBOK identifica duas tarefas, como parte da fase de fechamento -Encerrar o projeto ou Fase de aquisição e Fechar. Ambos os processos são genéricos na descrição e


não fornecem um gerente de projeto, novos projetos de testes de penetração, muito informações sobre o que ocorre nessa fase do projeto.

Revisão de Projetos formal No final de um projeto, toda a equipe precisa para realizar uma análise do que ocorreu e que eles poderiam fazer diferente. Esta análise é diferente de esforço avaliação (discutido a seguir), em que a equipe como um todo é analisado não individual jogadores dentro do projeto. Esta discussão pode variar em detalhes de alto nível exemplos para o desempenho da ferramenta específica. A revisão do projeto formal permite à equipe identificar os pontos fracos do projeto processo, o foco em áreas onde a equipe está carente de treinamento ou experiência, identificar ferramentas que podem ser úteis em futuros eventos, e quantificar os riscos que apareceram durante o curso do projeto. A capacidade de refletir sobre um projeto no conclusão é muito benéfico para todos os membros da equipe e permite que o gerente de projeto para coletar dados que irão melhorar o sucesso de projetos futuros.

Avaliação esforço Quando a avaliação do esforço individual é analisada em um projeto de teste de penetração, que deve ser realizado como um esforço de grupo. Semelhante a revisões de código, o esforço avaliação pode identificar falhas processuais e áreas de melhoria para pentest engenheiros. Também pode ser um momento de partilha de conhecimento, especialmente quando um mais engenheiro experiente descreve o seu esforço e as atividades dentro de um projeto. AVISO O perigo nas avaliações do grupo é quando a discussão se torna negativa. O gerente de projeto deve garantir que a crítica só criativo é usado durante a revisão e que a revisão grupo é globalmente positivo e benéfico para os membros da equipe. Se as avaliações degradam em algo negativo, o gerente de projeto é muitas vezes melhor cancelar esse parte da fase de fechamento dentro de um teste de penetração. É muito melhor perder uma ferramenta de treinamento do que a perder funcionários talentosos.

Identificação de Novos Projetos Na conclusão de um teste de penetração, o pessoal muitas vezes tem mais experiência e conhecimento do que quando começou o teste de penetração. O gerente de projeto deve avaliar o conhecimento é adquirido, para ver se algum projeto futuro pode beneficiar das habilidades recém-adquirida. Outra opção é que a equipe de teste de penetração pode ser capaz de expandir o que tipos de testes de penetração que podem desempenhar. Se o projeto exigiu a conclusão pessoal para aprender a realizar engenharia reversa, o gerente de projeto (ou sênior gestão) pode ser capaz de alavancar essa nova habilidade e trazer adicionais negócio que exige engenharia reversa para seus testes de penetração.


Além de novas habilidades, o gerente de projeto deve avaliar a equipe interpessoais dinâmica. Em muitos casos, os membros da equipe como trabalhar juntos podem influenciar atribuições do pessoal em futuros projetos. Através da identificação de como as pessoas interagem entre a equipe, o gerente de projeto pode ser capaz de aumentar a chance de projeto sucesso, atribuindo as pessoas certas na equipe certa. Um exemplo pode ser que um cliente de ponto de contato pode parecer "Connect" com um engenheiro pentest particular. Não faria sentido para o gerente de projeto que incluem pentest engenheiro em qualquer próximos projetos que envolvem o mesmo cliente, independentemente se o ponto de contato está envolvido ou não. Opiniões positivas são ativos valiosos e são algo que um gerente de projeto deve promover e usar para garantir o sucesso de um projeto.

Ferramentas e Armadilhas ... Engenharia Social

Um gerente de projeto deve usar todas as ferramentas à sua disposição, para concluir com êxito uma projeto. É uma técnica legítima de usar as relações interpessoais para superar obstáculos encontrados durante uma pentest. Eu usei minha experiência militar vezes numerosos como alavancagem na superação de problemas com uma das partes interessadas que também estava de serviço prévio. Use o que funciona.

Identificação Prioridade futuro Project A equipe de teste de penetração bem sucedidos, inevitavelmente, têm negócios muito. Quando isso acontece, a priorização dos projetos deve ser cuidadosamente realizada. O projeto gerente vai exigir a entrada de pessoal numerosos antes de ser capaz de priorizar os projetos, mas há algumas coisas que devem ser considerados, independentemente: ■

Risco de segurança global para o cliente

■

Custo de cada projeto

■

Ganho financeiro de cada projeto

■

Período de tempo necessário para cada projeto

■

Habilidades necessárias para concluir com êxito cada projeto

■

Disponibilidade de pessoal / recursos (sim, até mesmo os engenheiros tiram férias) Projeto patrocinador / solicitante

■

Todos esses fatores influenciam priorização de projetos e deve ser considerada antes da atribuição. Ao identificar todos os fatores envolvidos em projetos futuros, o projeto gerente pode organizar projetos que maximizam o uso de recursos e tempo.


RESUMO Estrutura organizacional das empresas pode influenciar os papéis e responsabilidades dos profissionais de penetração membros da equipe de teste. Através da compreensão das vantagens e desvantagens de cada organização, os gerentes de projeto podem planejar estratégias para melhorar o sucesso de seus projetos. Independentemente de qual organização estrutura pentest equipe trabalha sob, a equipe deve ter o apoio do administração superior, um campeão da equipe. A equipe também deve ter um projeto forte presença gerencial e engenheiros qualificados teste de penetração que recebem ampla oportunidade de participar do treinamento. Mesmo com a combinação certa de design organizacional, apoio da equipe, o pessoal adequado, e com a formação, o gerente de projeto deve abordar áreas no âmbito um projeto que são exclusivas para testes de penetração. Todas as fases de um projeto incluem desafios que devem ser superados e as oportunidades para melhorar a longo prazo sucesso da equipe e seus membros.

As soluções da FAST TRACK Membros da equipe do projeto ■

Quanto maior a cadeia gerencial campeão a equipe está, melhor o Pentest equipe e seus projetos serão apoiados e defendidos.

■

A organização funcional tem a desvantagem de criar brechas de segurança dentro da corporação.

■

A organização matricial pode exigir que o engenheiro precisa apresentar um relatório ao múltiplas cadeias de gestão. Em organizações matriciais solto, os conflitos por tempo e carga de trabalho existe.

■

Engenheiros não desenvolver qualquer equipe ou projeto em uma lealdade projetizada organização.

Project Management ■

Há também uma chance de que a atividade ilegal serão identificados durante o curso de um teste de penetração. Contatos aplicação da lei precisa ser on-mão, apenas no caso.

■

Para gerentes de projeto que trabalham em projetos de teste de penetração regularmente, é benéfica para desenvolver um registro de risco de vulnerabilidades -não apenas o risco de um projeto Registro. Especialistas no assunto muitas vezes pode ser contratada para fornecer concentrado formação de uma equipe de teste de penetração.

■



Pode uma penetração de trabalho da equipe de teste sem o cargo de gerente de projeto? Absolutamente. Pode não ser a maneira mais eficaz de realizar uma penetração teste, mas o tamanho do pentest ou a experiência da equipe pode pentest às vezes ditam a necessidade de gerenciamento de projetos.

Q: A:

Q: A:

Assim, a equipe de teste de penetração não precisa de um gerente de projeto? Não é verdade -um monte de processos de gerenciamento de projetos ainda precisam ser realizadas, independentemente de haver ou não uma pessoa designada como um projeto gerente. O gerente da equipe, muitas vezes cumpre o papel de gerente de projeto, quando não há nenhuma posição específica disponível. Isso pode levar a conflitos de interesse, e processos que está sendo negligenciado ou ignorado devido a restrições de tempo. Nós realmente não temos um campeão da equipe em nossa organização; eles são realmente necessário? Equipes de testes de penetração são caros, e eles não produzem nada mas os relatórios e dores de cabeça para administradores de rede e de sistema. Sem uma equipe campeão alto na organização, um pentest equipe está sempre em risco de ser cortado por razões financeiras, se nada mais.

Expandir suas habilidades Quer saber mais sobre a gestão de um pentest? Os exercícios a seguir são destina-se a fornecê-lo com conhecimento e habilidades adicionais, assim você pode entender melhor este tema. Use o seu laboratório para realizar os exercícios seguintes.

Exercício 8.1 Organizações compreensão 1.

Faça uma pesquisa e definir os seguintes termos: ■Administração Científica ■

Movimento de eficiência

■

Fordismo Agile Management

■ ■

2.

Stovepipe organização

Criar um organograma funcional, e incluem uma equipe de teste de penetração dentro de um departamento (IT, finanças, jurídico, operações, e assim por diante). Que departamento que você acha que seria melhor para uma equipe pentest a ser localizado em? Justifique sua resposta.


EXERCÍCIO 8,2 Gerenciamento de Projetos para Projetos de Teste de Penetração A lista de interessados foi fornecida neste capítulo, sob o "Iniciando 1.

2.

Stage "título. Identificar cinco partes adicionais que possam ser incluídos em um projeto profissional teste de penetração. Pesquisar na Internet para uma lista de cursos que se relacionam com testes de penetração. Selecione um curso, e tentar identificar qualquer livros que cobrem o mesmo material. Qual é a diferença entre cursos de formação e estudo pessoal, com em conta o material do curso e os livros relacionados ao tema?

Referências Glen, P. (2003). Geeks principais: Como levar as pessoas que entregam tecnologia. San Francisco: Jossey-Bass. Taylor, F. W. (2009, 22 de março). Especialista em eficiência, morre. New York Times. Obtido em linha em www.nytimes.com/learning/general/onthisday/bday/0320.html

PARTE

Executando um pentest

2

Quando as pessoas pensam de um teste de penetração, que muitas vezes pensar em um sistema que está sendo atacado pelo uso de ferramentas de teste de penetração. No entanto, testes de penetração é mais do que apenas hacking -há uma série de processos de projeto de gestão que deve ser incluídos no pentest o. Por causa do alto nível de interesse e propensão para que as coisas vão terrivelmente errado, um teste de penetração requer comunicação constante cação entre o pentest equipe e as partes interessadas. Nesta parte do livro, examinaremos as diferentes atividades dentro de um teste de penetração, tal como definido por um pentest metodologia e integrar o projecto gestão de processos em nossos esforços. Embora isso possa parecer a melhor parte do livro, estar ciente que o objectivo global a funcionar um pentest é melhorar a postura geral de segurança dos nossos clientes.


CAPÍTULO

Coleta de informações

9

SOLUÇÕES NESTE CAPÍTULO Coleta de Informações passiva ............................................... ...................... 221 Coleta de Informações Active ............................................... ....................... 238 Project Management ................................................ ................................ 247

INTRODUÇÃO Почин дороже дела. -Provérbio russo: "Começos são fundamentais. " (Mertvago, 1995)

Coleta de informações é o primeiro passo na realização de um teste de penetração e é sem dúvida o mais importante. Após a conclusão desta fase, devemos ter um mapa detalhado da nossa rede de destino e compreender a quantidade de esforço necessário para conduzir uma avaliação completa. Além disso, devemos ser capazes de identificar os tipos de sistemas dentro da rede, incluindo o sistema operacional (OS), informações o que nos permite aperfeiçoar a nossa equipe e seleção de ferramentas para o restante do projeto de teste de penetração. Muitas vezes existe uma grande quantidade de informações fornecidas pelos clientes respeito de sua rede que irá fornecer para ajudar em seus esforços, mas não se surpreso se essa informação está errada, e é por isso que precisamos fazer essa etapa, independentemente. Recolha de informação podem ser agrupadas em dois tipos diferentes -passiva e ativo. Na coleta de informações passivas, tentamos reunir o máximo de informações sobre a nossa rede de destino e sistemas sem conexão com eles diretamente. Vamos também tentar reunir informações corporativas, bem como, incluindo a propriedade, localização de a empresa, a localização da rede e sistemas de informação planta física (em caso, precisamos fazer um pentest física), e mais, dependendo dos objetivos do projeto de teste de penetração. O segundo tipo de coleta de informações está ativo, em que nos conectamos a nossa alvos. Este tipo de recolha de informação destina-se apenas para entender melhor


220 CAPÍTULO 9 Coleta de informações

o escopo do esforço, tipo, número e de sistemas dentro do projeto. Mais tarde, nós irá enumerar esta informação com maior detalhe, mas por agora nós só queremos melhor entender o que estamos enfrentando. Tende a haver uma crença de que a coleta de informações ativo é muito mais útil de passiva. No entanto, essa suposição é muitas vezes incorreta. Não é incomum que informações vazadas no passado e que esta fuga de informação é arquivada, mesmo se corrigido depois. É este tipo de erros que podem se beneficiar muito a nossa penetração esforço de teste, especialmente se a informação está relacionada com a rede. Não é impossível para encontrar arquivos de arquivos de instalação, configuração e sistema, juntamente com dados privados incluindo segredos corporativos. De uma perspectiva de gerenciamento de projetos, esta fase irá impactar diretamente o Execução de grupo de processos e projeto vai ajudar a refinar as saídas de qualidade garantia (QA), os processos da equipe do projeto (tanto a aquisição eo desenvolvimento processos) e, certamente, o impacto "Request vendedor respostas atividade ", conforme definido pelo Project Management Body of Knowledge (PMBOK). Como esse processo grupo é onde a maior variação nos custos normalmente é experiente, é fundamental para garantir a sua equipe do projeto realiza a fase de coleta de informações também, assim que você pode finalmente controlar os custos do projeto. Nesta seção, trataremos principalmente com a Information Systems Security Quadro de Avaliação de metodologia (ISSAF). Isso ocorre porque a rompe ISSAF esta fase do teste de penetração em mais etapas granular. No entanto, em a conclusão desta etapa, iremos satisfazer o Teste de Segurança Open Source Metodologia Manual (OSSTMM) objectivos, bem, que comprime a maioria dos coleta de informações em um módulo intitulado "Logística", e inclui o seguintes áreas:

■

Quadro

■

Qualidade da rede

■

Tempo

Quadro, de acordo com o OSSTMM, se relaciona com tudo o que cobrir neste capítulo: a coleta de informações ativa e passiva. Os testes adicionais relacionados a qualidade da rede e tempo não são abordados nesta seção, principalmente porque eles são difíceis de replicar em um laboratório, a menos que o hardware de rede adicional é envolvidas. Qualidade da rede centra-se na perda de pacotes e taxa de velocidade; mensuráveis através de múltiplas redes, mas não realmente um fator em laboratórios de pequeno ou grande. Tempo análise centra-se na sincronização dos relógios do sistema e horários de trabalho de sistemas e as partes interessadas. Gerentes de projeto deve ter uma sólida compreensão de qualquer refere ao tempo, enquanto Quality Network em si não deve ter um monte de esforço para ser concluído. Vamos reunir essas informações e muito mais nesta fase, mas vai quebrar isso em duas atividades diferentes -recolha de informação passiva e ativa como sugerido pelo ISSAF. Mesmo que o ISSAF tem algumas significativas desvantagens, que se distinga na prestação de passo-a-passo sobre como

Coleta de Informações Passivas 221

recolher as informações necessárias. Neste capítulo, vou destacar alguns dos desvantagens inerentes ao ISSAF ao longo do caminho, no entanto, a minha sugestão seria entender o objetivo por trás os passos e expandir a informações fornecidas para aumentar suas próprias habilidades e eficácia na testes de penetração.

RECOLHA DE INFORMAÇÃO PASSIVA Como mencionado anteriormente, a coleta de informações passivo se concentra na coleta de informações arquivadas em sistemas que não estejam localizados na rede de nossos clientes. Durante o Fase de coleta de informações, uma grande quantidade de diferentes tipos de pesquisas são realizadas, incluindo informação não especificamente relacionados com a rede de destino, incluindo informações de funcionários, localização física, ea atividade de negócios. Incluídos nesta lista são■possíveis as seguintes pesquisas: Localize a presença na Web de destino (nota: isso não está se referindo somente para páginas Web) ■ Reunir resultados de pesquisas sobre o alvo ■

Procure grupos Web contendo empregado e / ou comentários empresa

■

Examine os sites pessoais de funcionários

■

Adquirir segurança e troca de informações de comissão, e de quaisquer outros informação financeira relativa a meta

■

Olhar para as estatísticas sites uptime

■

Pesquisa sites arquivo para obter informações adicionais

■

Procure anúncios de emprego apresentadas pelo alvo

■

Newsgroups pesquisa

■

Consultar o registro de domínio

■

Ver se o destino fornece sistema de nomes reverso de Domínio (DNS) através de um serviço de terceiros

Até o final desta fase, o testador penetração terá uma riqueza de informações em relação à meta sem nunca visitar rede do alvo. Todas as infor-passiva informação é recolhida a partir de fontes de terceiros que coletou informações sobre o nosso alvo, ou que tenham os requisitos legais para reter esses dados. Uma coisa que pode ser imprimido sobre você no final desta fase é a forma como muita informação está lá fora -muitas vezes informações que não devem estar disponíveis. Depois você é feito realizando os exercícios de recolha de informação no final deste capítulo, você pode simplesmente descobrir o quão difícil se tornou para garantir pessoais privacidade, e como muita coisa mudou nas décadas últimos como um resultado direto da a expansão da Internet.


Presença na Web Esta fase geralmente fornece uma riqueza de informações sobre a empresa do seu cliente, incluindo informações de funcionários, localização física e lógica, tipos de sistema (incluindo arquitetura da marca e OS), e da rede. Felizmente, essa fase do teste de penetração utiliza algumas ferramentas muito simples, que são listados dentro da metodologia ISSAF: ■

Browser Web

■

Dogpile.com

■

Alexa.org

■

Archive.org

■

cavar

■

nslookup

Nós iremos usar esses sites principalmente, mas também usar alguns outros que podem expandir a nossa conhecimento de nosso alvo. Como de costume, o OSSTMM não tem recomendado ferramentas, contando com a experiência do testador de penetração para selecionar os mais adeferramentas adequadas e úteis. Os sites ISSAF recomendado (eo navegador da Web) são bastante auto-explicativo quando se trata de uso, a dificuldade real está dentro de subestando as informações que você está procurando. A resposta é, basicamente, "Tudo você pode chegar em suas mãos. " O seguinte é uma lista de sugestões, mas não é de forma all-inclusive, e ser adicionado (ou excluído), dependendo do seu acordo contratual e de destino sistemas. No entanto, esta lista é um bom começo e deve fazê-lo pensar sobre outros tipos de informações que possam estar disponíveis, dependendo do seu alvo. Mais informação que você recolhe nesta fase, mais fácil o seu follow-up tarefas serão: ■

Endereço do site (es)

■

Tipo de servidor Web

■

Locais de servidores

■

Datas, incluindo "Data modificada pela última vez " Web links -tanto interna como externamente

■ ■

Árvore de diretórios do servidor Web

■

Tecnologias utilizadas (software / hardware)

■

Padrões de criptografia

■

Web-enabled línguas

■

Campos de formulário (incluindo campos ocultos) Variáveis do formulário

■


■

Método de postagens forma

■

Informações de contato da empresa

■

Meta tags

■

Quaisquer comentários em páginas Web

■

E-commerce capacidades

■

Serviços e produtos oferecidos

AVISO Engenheiros: Informação recolhida nesta fase pode não ser de domínio público. É importante como um testador de penetração para lidar com todas as informações como se fosse rotulado como "Restrito", mesmo se encontrado em um site de acesso público.

Porque é muito mais fácil de entender os conceitos por fazendo, ao invés de simplesmente leitura, vamos usar um exemplo do mundo real. Se você seguir os passos descritos neste livro, o informações podem ter mudado entre o tempo este livro foi escrito e os vez que você está lendo isso, mas o ponto deste exercício é aprender por isso que queremos para coletar as informações necessárias -Não simplesmente fornecer um manual passo a passo, que tende a ser inflexível e produzem lacunas de conhecimento. Através da compreensão por que estamos fazendo as coisas que estamos fazendo nesta fase, você será mais capaz como um verificador da penetração profissional do que se você apenas executou todos os seus testes de penetração do mesmo, repetindo os mesmos passos como se de cor. Dizer que nunca ouviram falar de uma ferramenta chamada "Nmap". Se conduzir um motor de busca consulta para saber mais informações em torno da ferramenta e seu criador, encontramos existem possivelmente três sites diferentes, em torno Nmap, como visto na Figura 9.1. Nmap.org parece uma escolha natural, mas Insecure.org e Sectools.org parecem estar indiretamente relacionado ao scanner Nmap. Antes de ir mais um passo, quero lembrá-lo que nesse metade do Fase de coleta de informações, estaremos fazendo a nossa coleta de informações sem nunca tocar a rede ou sistema alvo -o que significa que não vai realmente clique em esses links. Certamente, um único clique a sua página Web não alertar os alvos (Afinal, eles querem pessoas a visitar o seu site ou eles não seriam on-line), mas é importante para entender exatamente o quanto você pode reunir informações simplesmente fora de fontes secundárias na Internet. Além disso, uma grande quantidade de dados que você gostaria de recuperar pode não estar mais disponíveis em seu site, mas salvos na Internet arquivos. Outra vantagem da recolha de informação passiva é que quanto mais pode atrasar chegando no radar do alvo, melhor, especialmente se a rede do seu cliente engenheiros estão cientes do teste de penetração iminente. Quanto menos ruído fazemos, o menos chance os engenheiros sistema irá tentar consertar o seu sistema ou evitar nossas sondas. Depois, vamos querer testar a reação de intrusão pelos engenheiros de rede, mas por agora nós realmente não quer que eles para começar a ver seus arquivos de log de perto, identificar


FIGURA 9.1 Resultados da Pesquisa Engine para a ferramenta Nmap

nosso ataque Internet Protocol intervalo (IP), e bloquear a nossa actividade muito cedo no teste de penetração. Outra coisa a considerar é que, eventualmente, poderíamos alvo outros serviços de Web durante esta fase, o que certamente aumenta as chances de detecção, de modo a que estamos mais furtivo e evitar a rede de destino, melhor. Agora que temos três domínios da Web de destino, vamos fazer investigação um pouco mais. Olhando para trás à nossa lista de ferramentas, vamos tentar Alexa.org seguinte. Na Figura 9.2, você pode ver que Alexa.org acredita Nmap.org Insecure.org e estão relacionados, pelo fato de que

Figura 9.2 Resultados Alexa.org para consulta "Nmap"


Figura 9.3 Informações adicionais sobre Web Nmap.org

o link do site para info Insecure.org referências Nmap.org. Se você executar a mesma consulta para si mesmo, você vai encontrar mais abaixo na lista uma descoberta interessante, como visto na Figura 9.3. Parece que permite Nmap.org subdomínios, assim, como evidenciado por o nome da Web "Scanme.Nmap.org". Além disso, o nome parece implicar que nós podemos scan este subdomínio, mas porque não estamos realmente conectar ao alvo em desta vez, vamos esperar que, para mais tarde. Se realizamos o mesmo tipo de consulta em Alexa.org para o Insecure.org domínios e Sectools.org, encontramos informações semelhantes, como fizemos olhando Nmap.org, incluindo um subdomínio chamado scanme.Insecure.org. Neste ponto, uma vez que adicionar um novo alvo de interesse, poderíamos voltar para o início de nossa coleta de informações fase e incluir essas novas URLs para o nosso esforço de pesquisa. Na verdade, este é geralmente o passo correta a tomar. No entanto, vou deixar isso para que você faça, se assim desejar -nesta ponto, repetindo-nos não melhorar a nossa compreensão das etapas anteriores. Temos um pouco de informação agora sobre Nmap.org, então vamos dar uma olhada no próprio site, mas novamente não vamos estar tocando nosso sistema alvo diretamente. Há um casal que sites Web páginas de arquivos atuais e históricos do nosso alvo Servidor Web, incluindo Google.com, mas eu gosto de começar com Archive.org, o que permite me para ver como o site mudou ao longo dos anos e muitas vezes tem nenhuma informação mais disponíveis através do Google ou a versão atual do site de destino. TIP Engenheiros: Archive.org não fornece últimos 6 meses de arquivamento. Se você precisa de um snapshot mais recente de uma página da Web, você deve usar o recurso de cache do Google página.

Na Figura 9.4, podemos ver os resultados da nossa consulta no Archive.org. Como você pode ver, o site tem sido arquivamento Nmap.org para muito poucos anos -todo o caminho de volta para 2000. Por agora, vamos apenas dar uma olhada na versão mais recente actualização de o site, 24 de setembro de 2006. Há uma versão posterior, mas não variam de a 24 de setembro de arquivo, de acordo com Archive.org. Se você está conduzindo uma teste de penetração para o real, você provavelmente irá querer passar por todos os links disponíveis para que você possa ver o que a informação foi adicionada ou excluída na atualizações. Web sites para uma mudança razões muito poucos, nós a alguém está mais interessado em são aqueles que corrigir erros, tais como rede de informações sensíveis e servidor divulgação, ou informações pessoais.


Figura 9.4 Resultados da pesquisa no Archive.org

Antes de irmos adiante, estar ciente de que algumas páginas arquivadas conectar novamente para o servidor Web de destino. Muitas vezes essa conexão é a obtenção de imagens, mas porque estamos realizando um ataque de coleta passiva de informação, nós realmente queremos aumentar nossa stealth, restringindo o Browser da Web acessem imagens de Insecure.org. Podemos fazer isso por adicionando uma exceção para o navegador aplicação; no Firefox, selecionamos Ferramentas |Opções |Conteúdo, e selecione Exceção localizado ao lado "Load imagens automaticamente. "Na Figura 9.5, você pode ver que tem uma exceção foi adicionado para Insecure.org. Embora este não proíbe qualquer contato com o nosso sistema alvo, ele faz provide uma camada adicional de controle e é suficiente para os nossos esforços para mostram como coletar informações comFigura 9.5

a comunicação com a nossa meta sistemas.Desligar Imagens da Insecure.org



Turn Off All Access para o Sistema Target Se você quiser realmente aumentar o seu stealth, você pode bloquear todos os conectividade para Web do seu alvo site, enquanto você conduz a sua coleta de informações. Alguns sites, incluindo o Google.com e Archive.org, irá se conectar ao servidor Web de seu alvo, a menos que você adicione segurança adicional medidas. Naturalmente, você pode transformar o acesso de volta mais tarde, durante o resto da penetração teste. No Microsoft Windows, você pode restringir todo o acesso ao sistema de destino dentro do Internet Propriedades menu, adicionando o endereço do seu alvo para o "Restricted Sites zona ".

Depois que selecionar o 24 de setembro de 2006 resultado, podemos ver o resultado na Figura 9.6. De imediato, temos mais evidências de que Insecure.org Sectools.org e estão relacionados com a uns dos outros por as imagens no site. Para reunir o máximo de informação que podemos sobre o site, devemos clicar em todos os links disponíveis disponíveis para nós nesta página, particularmente aqueles dentro da esquerda coluna. Quando clicamos no Intro link (o que nos leva a http://web.archive.org/ web/20060303150420/www.insecure.org/nmap /, que ainda está no Archive.org Site), encontramos uma variedade de informações, incluindo links para informações sobre a licença, descrição do programa Nmap, links para documentação, e muito mais. Se rolar para baixo, encontramos lá fora, são as listas de discussão, como visto na Figura 9.7. Se seguirmos o link Seclists.org (oh, e sim -devemos acrescentar outro nome de domínio à nossa lista), encontramos links para posts de arquivo em uma variedade de listas de discussão, incluindo Nmap. O arquivo disponível no Archive.org se estende de 2000 a 2004 e

Figura 9.6 Página Web da Nmap.org como Cached pelo Archive.org


Figura 9.7 Informações sobre Listas de Discussão em Insecure.org

oferece uma riqueza de informações sobre Nmap, embora não houver nada listado passado de 2004. Depois de ler alguns dos e-mails, nós podemos, eventualmente, que o autor da ferramenta de e-mail atende pelo nome de Fyodor (cujo verdadeiro nome é Gordon Lyon, como vamos descobrir), como visto pelo trecho lista de discussão na Figura 9.8. Temos também um novo e-mail, que pode começar a adicionar aos outros nos reunimos ao longo do caminho.

Figura 9.8 Nmap Trecho da lista


Antes de deixarmos as imagens últimos, vamos dar uma olhada na lista de discussão formulário de inscrição mostrado na Figura 9.7. Você pode dar uma olhada no código-fonte enquanto ao Archive.org, o que nos permite evitar tocar nossa rede alvo e sistemas. O código é escrito da seguinte forma:

Isto não é muito excitante (não existem campos ocultos para trabalhar), mas agora saber algumas informações adicionais, tais como o fato de que bin cgi-diretório / existe e que o aplicativo usa o HyperText Transfer Protocol (HTTP) "GET" método. Existe uma forma adicional no sistema de destino, mas é usado para realizar Buscas site e se conecta ao Google -não algo realmente nós estaríamos interessados em indo depois a este ponto. No entanto, a apontar para este tipo de coleta de informações é pode haver aplicações utilizadas no site de destino que possuem vulnerabilidades conhecidas ou exploits. O uso destas aplicações é muitas vezes apenas identificáveis se você examinar o código das páginas da Web. Então, o que mais podemos descobrir sobre o nosso alvo? Vamos explorar a questão da subdomínios. O ISSAF sugere usamos o Netcraft.com site para encontrar uma lista de subdomínios associados a qualquer site. Nas Figuras 9,9-9,11, podemos ver o que Netcraft subdomínios acredita que existem para o nosso alvo. O principal local de Fyodor parece ser Insecure.org e inclui três subdomínios. Voltando ao Archive.org, "Download.Insecure.org" parece ser a notícia da página, que está incluído na frente do site principal. Nada de novo, assim como sobre "Images.Insecure.org"? Se você investigar a ligação mesmo, você vai encontrar um texto que faz referência a VA Linux Systems, Inc., que mais tarde se tornou VA Software Corporation, e, eventualmente, SourceForge, Inc. Parece que o subdomínio é ainda usado, mas a primeira página não foi modificada por um bom tempo. Isto pode ser útil

Figura 9.9 Resultados da Consulta "Insecure.org" em Netcraft.com


Figura 9.10 Resultados da Consulta "Sectools.org" em Netcraft.com

Figura 9.11 Resultados da Consulta "Nmap.org" em Netcraft.com

no futuro, mas por agora parece apenas um pouco de curiosidades interessantes. Também é útil é o sistema operacional informação, que podemos usar mais tarde em nosso teste de penetração. Embora possa haver diretórios adicionais dentro desse subdomínio que pode tem informações que poderiam ser úteis, um exame superficial do Google e Archive.org não encontrei nada sobre esses subdomínios. De investigar mais profundamente, podemos voltar ao Google e construir uma consulta para "Site: cgi.Insecure.org" que garnered 46 páginas diferentes, incluindo links para apresentações conferência de segurança (Que pode ser muito útil para compreender melhor a ferramenta, mas pode não ter qualquer relevância em nosso teste de penetração, se estivéssemos realmente a realização de um). De os quatro subdomínios, "Cgi.Insecure.org" parece deter a maior promessa de descobrir mais informações sobre o site e sobre a ferramenta Nmap, especificamente porque este diretório contém scripts que possam vir a ser explorado. Uma busca por "Mirror.Sectools.org" usando o Google e os rendimentos não Archive.org resultados. Embora o domínio pode ter informação que poderia usar, neste ponto não podemos recolher mais até que conectar ao destino, porque não podemos recolher qualquer coisa de registros de arquivamento. Vamos apenas lembrar para referência futura quando nós enumerar o alvo mais adiante na pentest esforço. A realização de uma consulta no Archive.org para o subdomínio "Scanme.Nmap.org" nós encontrar nenhuma entrada. Virando-se para o Google em vez disso, podemos olhar para uma cópia em cache do site. Figura 9.12 nos mostra o que é (ou deveria dizer foi) nessa página. Acontece que nós agora tem um alvo Internet ao vivo para conduzir hands-on de varredura, graças ao Fyodor. Vamos usar isso mais tarde quando praticamos nossas técnicas de digitalização através da Internet.


Figura 9.12 Página carregada de "Scanme. Nmap.org "

Não houve páginas Web adicionais associados com este subdomínio, de acordo para o Google. Novamente, é possível que possamos encontrar mais quando nós realmente conectar para os sistemas de destino, mas por agora vamos ser felizes com o que temos até mais tarde.

Dados corporativos Este passo permite-nos compreender melhor quem está por trás Nmap, sua localização, informações do funcionário e, possivelmente, informações sobre a rede também. Uma coisa que você necessidade de ser cuidadoso sobre o quão profundo é para conduzir esta fase da penetração teste. Dado tempo suficiente, há uma boa chance que você pode descobrir muito pessoal informação, incluindo residências casa de funcionários da empresa e telefone de casa números. A menos que você é obrigado a realizar algumas de engenharia social, você pode ser cruzando a linha ética recolhendo este tipo de informação. Mesmo se estiver disponível, isso não significa que é importante de se obter. A mesma coisa vale para páginas pessoais de funcionários da Web, como blogs ou familiares sites relacionados. Pode haver algumas informações que podem ser úteis (como sistema ou aplicação específica certificações de engenheiros de rede), mas não significa que você precisa para manter os dados em seu signo do zodíaco ou fotos de seus filhos (que seria excepcionalmente creepy). Lembre-se de equilibrar a busca de informações entre o que é realmente útil eo que é simplesmente disponível. Vamos dar uma olhada no site de informação para ambos Insecure.org e Sectools.org (Estas são as nossas duas únicas opções, pois os pontos Nmap.org link para Insecure.org). Na Figura 9.13, que são fornecidas informações de contato, incluindo endereço, número de telefone e endereço de email. Essas informações de contato é o mesmo para Sectools. org, exceto para o endereço de e-mail. Além disso, observe que o nome da empresa é "Insecure.com" que nos fornece ainda um outro nome de domínio para investigar. Então, o que podemos fazer com esta informação? Se fôssemos fazer uma segurança física avaliação, nós poderíamos fazer um pouco mais de escavação usando mapas do Google. Na Figura 9.14,


podemos ver o mapa de localização do endereço indicado na Figura 9.13, juntamente com informações corporativas em relação do edifício. Com base nesta informação, parece que usa um Insecure.com caixa postal para realizar negócio. Se este endereço era uma grande empresa edifício, o Street View opção fornecer informações úteis, tais como adjoining edifícios ou edifícios em todo o Figura 9.13rua, entradas, locais janela, ingresso / egresso rotas, e talvez Informações para Insecure.org

alguns detalhes de segurança, tais como iluminação, câmeras, controles de acesso, e assim por diante. Se isto não é informação suficiente, você poderia também usar o Google Earth (http://earth.google.com/) para obter uma visão de satélite da área, que também pode fornecer informações adicionais, tais como estacionamentos, estrada alternativa acesso, e muito mais. Podemos continuar a investigar o arquivo para ver se há algum adicional informações lá fora, sobre Nmap ou Fyodor, mas se voltarmos ao Google e fazer uma consulta em "Nmap Fyodor palo alto ", encontramos o seguinte link para Wikipedia: http:// en.wikipedia.org / wiki / Gordon_Lyon. Neste ponto, parece que sabe quem é o autor é. Na versão da Wikipedia, no momento de escrever este livro, Imagem de Gordon também está incluída, dando-me um rosto por trás do nome, que pode não têm qualquer utilidade prática neste exercício, no entanto, as imagens dos principais interessados de uma organização pode ser extremamente benéfico em outros tipos de teste de penetração projetos, especialmente aqueles que têm requisitos de engenharia social. Todos nós sabemos como Wikipedia não confiável pode ser, então por que não descobrimos de uma fonte mais confiável que possui a Web sites. Voltando ao Figura 9.13, vemos que o nome da empresa para o Insecure.org site é

FIGURA 9,14 Resultados do Google Map para o endereço Insecure.com 's


FIGURA 9,15 California Dados sobre Insecure.com LLC

"Insecure.com". A vantagem que temos de recolher mais informações sobre esta empresa é o fato de que as empresas se registrar com os governos estaduais. Para Insecure.com, vemos que está localizado na Califórnia, que tem um portal para todas as coisas negócios relacionados. Na Figura 9.15, você pode ver os resultados do nosso pedido de informação sobre o LLC "Insecure.com". Esta informação é recolhida a partir do site Web www.sos.ca.gov / negócio. Vemos que o "Agente para o serviço de processo "é Gordon Lyon, o que confirma nossa descoberta Wikipedia. Temos também confirmou o endereço de Sunnyvale, Califórnia, como a localização de a empresa, que nós determinamos era uma caixa postal. Também sabemos há quanto tempo a empresa fez seu registro como companhia de responsabilidade limitada. Por causa dos custos eo fato de que as informações comerciais está mandatado para estar disponível ao público, a maioria Estados têm portais para nomes de empresas, e podem fornecer informações do proprietário e localidades. Isso faz com que os nossos esforços muito mais fácil, e podemos reunir de novo este informações sem nenhuma conexão com a rede de destino.

WHOIS e DNS Enumeração Vamos tomar rapidamente uma olhada nas informações de DNS mesmo em relação Nmap.org. Em Figura 9.16, você vai encontrar um monte de informação, começando com os endereços IP do site (64.13.134.48), e incluindo subdomínios adicionais (http://mail.Nmap.org).


FIGURA 9,16 Whois Informações sobre Nmap.org

Parece Nmap.org está localizado em um site chamado "Titan.net". Se você continuar a investigar titan.net, parece estar associado com "DreamHost Web Hosting ", o que é certamente fora do escopo, neste ponto, porque todos nós estamos tentando fazer é encontrar mais sobre a ferramenta Nmap e quem as faz. No entanto, se fizéssemos investigar mais profundamente, iríamos descobrir mais informações sobre o tipo de servidores (AMD Dual Core Opteron ou Intel Dual Xeon) e sistemas operacionais que utilizam (Linux-VServer ou Debian Linux), e serviços potenciais disponíveis para qualquer pessoa que use sua hospedagem serviço (incluindo MySQL, POP / IMAP, FTP e muito mais). Este braços-nos com uma melhor compreensão de que tipo de servidor (s) que estamos enfrentando. Quando passamos a realização de explorar os ataques contra sistemas de destino, esta informação nos permitiria para diminuir o campo do potencial explora um pouco. Algumas dessas informações teremos consulta mais adiante nesta seção, quando passamos à estágio ativo de coleta de informações. Não só este vai permitir-nos saber como coletar essas informações no prompt de comando, mas também irá validar as informações nos reunimos passivamente. É sempre possível que os registros listados na Figura 9.16 estão fora da data (ainda outra razão para usar sempre duas ferramentas diferentes para obter informações).


FIGURA 9,17 Resultados de Nameserver Query Usando dig

Outro casal ferramentas sugeridas para uso pelo ISSAF durante esta fase inclui dig e nslookup. Vamos correr por esses e ver o que temos. dig irá consultar nameservers para obter informações sobre a nossa meta e pode ser usado para consultar estes dados a partir de qualquer servidor DNS disponível -não apenas o servidor de nomes com autoridade. Na Figura 9.17, realizamos uma consulta cavar em Nmap.org, e descobrir os servidores de nomes com autoridade para Nmap.org. O servidor de nomes que usamos é 208.67.222.222 (resolver1.opendns.com), que é o servidor DNS para o OpenDNS, uma empresa que fornece gratuitamente o serviço de DNS, e é útil quando você não tem certeza da confiabilidade de seu provedor de DNS próprios (ou se você quer apenas um "Segunda opinião ").

Notes from the Underground ... OpenDNS.com

O nome é um pouco enganador, na medida em que o OpenDNS não é software open source, mas sim um empresa comercial. Existem serviços adicionais que você deve estar ciente antes de utilizar os seus serviços gratuitos, incluindo filtros de phishing, bloqueando domínio, e propaganda, quando conectar a um nome de domínio inexistente usando um navegador de Internet. Dependendo do seu objetivos, o OpenDNS é tanto um activo valioso ou algo a ser evitado por completo.

Nossos resultados mostram que titan.net é de fato o nameserver para Nmap.org. Agora que nós sabemos o servidor, vamos descobrir mais sobre o nameserver si.


FIGURA 9,18 Usando nslookup para recolher informações DNS como sugerido pelo ISSAF

A próxima ferramenta que o ISSAF sugere é nslookup. Os exemplos a metodologia utiliza nesta fase do teste de penetração são muito simplista. Na Figura 9.18, que vai ver um casal usando comandos nslookup, como sugerido pelo ISSAF. No entanto, a metodologia não entrar em nenhum detalhe sobre a flexibilidade do nslookup ferramenta e omite informações opcionais que podem ser úteis para recolher mais dados em nossas metas. Este é o problema com a metodologia ISSAF, como mencionado anteriormente o ISSAF oferece opções dentro das ferramentas discutidas na metodologia, mas não cobre todos os cenários possíveis. Vamos cobrir alguns dos nslookup diferentes comandos mais adiante neste capítulo, na seção ativa de coleta de informações. Mais tarde, vamos configurar DNS nslookup que irá se conectar ao servidor, para recolher informações adicionais, mas por agora nós usar qualquer servidor de nomes padrão foi definido até para a nossa rede. Às vezes, é importante para definir o servidor DNS, porque há uma defasagem entre as mudanças DNS. No entanto, porque queremos manter as coisas passivo, os dados não autoritário vai fazer por agora.

AVISO Engenheiros: Em alguns casos, poderemos estar a violar a nossa passividade, consultando a nameserver diretamente. Se quisermos estritamente reunir informações de forma passiva, a conexão com o nameservers autoridade pode ser uma má idéia, dependendo de quem as possui.

Recursos adicionais na Internet Outra área que deve ser explorada é a atividade dentro de newsgroups. Na Figura 9.19, você pode ver as mensagens grupo de notícias mais recentes relacionadas com o Nmap. Podemos pesquisar


FIGURA 9,19 Pesquisar notícias grupo Nmap -Obtido em http://freenews.maxbaud.net

newsgroups para a frase Nmap, ou o http://Insecure.org URL, para ver o que os outros têm a dizer sobre o site ou a ferramenta. Se você explorar esses newsgroups, você vai encontrar usuários postagem de todo o mundo sobre o tema do Nmap. É possível para recolher informações sobre o site ou a ferramenta a partir desses grupos. Lembre-se, um monte de informação precisa ser reunida e, às vezes uma jóia pode ser encontrado até mesmo em lugares obscuros. O ISSAF também sugere que o alvo ser investigado para determinar se ele tem foram listados no banco de dados SPAM. Se um alvo está listado neste banco de dados e não deve ser, isso pode indicar que o servidor de correio tinha sido comprometida na passado. De acordo com os resultados na Figura 9.20, parece que não tem Insecure.org foram adicionados ao banco de dados SPAM, que pode ser encontrada em www.dnsbl.info.

FIGURA 9,20 Pesquisa para saber o status de SPAM mail.titan.net


Nós também podemos procurar informações de rede em sites de emprego, que muitas vezes é uma boa fonte de informações sobre hardware e software de uso em uma empresa. O seguinte é um excerto de uma posição de Engenheiro de Produção no Google.com (Google Inc., 2009): Requisitos: ■ BS licenciatura em Ciência da Computação ou experiência equivalente ■

Experiência com o MySQL (de preferência incluindo algumas administrativas e / ou experiência de ajuste de desempenho) e em pelo menos dois dos seguintes idiomas: Python, Perl, SQL, shell

■

Habilidades básicas de solução de problemas em sistemas operacionais Linux e redes

■

Hands-on experiência no desenvolvimento e / ou manutenção de um sistema ETL

■

Experiência na gestão de um grande sistema com vários componentes é um mais significativo.

■

Experiência com os registros e experiência de análise de dados é um plus.

A partir desta informação, agora sabemos que em algum lugar, o Google usa Linux sistemas, MySQL, e programas em Python e Perl. Além disso, há pelo menos um banco de dados dentro do Google que usa uma extração, transformação e carregamento (ETL) arquitetura. Este tipo de informação seria certamente útil no estreitamento seu esforço geral do projeto e refinar suas necessidades de pessoal do projeto.

RECOLHA DE INFORMAÇÃO ACTIVE Nesta fase do teste de penetração, podemos ficar um pouco menos cauteloso sobre interagindo com a nossa rede de destino. Parte desta razão é que já fez bastante de investigação sobre a nossa meta e não precisa ser tão amplo em nossas informações sobre coleta de esforços. Coleta de informações Active vai encontrar resultados semelhantes ao que nós já encontrado usando medidas passivas -a vantagem de incluir o recolhimento passiva em um teste de penetração é duplo: identificar informações históricas e confirmar os resultados com os métodos ativos. Embora nós não cobri-lo neste livro, a engenharia social é um altamente eficaz método de coleta de informações sobre um alvo -muitas vezes, é mais eficaz do que realização de exames e tentam explorar vulnerabilidades. Usar ferramentas que quer e técnicas que podemos, para reunir as informações que precisamos.

Interrogatório DNS Um bit de informação que seria útil é saber o número da versão do Berkeley Internet Name Domain servidor (BIND) rodando em nosso alvo. Seguinte o comando sugerido no ISSAF como mostrado na Figura 9.21, vemos que o versão é 9.3.4, que (depois de cavar em torno da Internet) foi lançado em

Coleta de Informações ativos 239

FIGURA 9,21 Consulta de número de versão BIND

Janeiro de 2007, e já não é a versão mais recente. Se podemos ou não usar esse informações mais tarde é determinante sobre a existência de vulnerabilidades conhecidas e exploits. Mas, por enquanto, vamos apenas gravar os dados e seguir em frente. Há um outro casal comandos do ISSAF sugiro que você execute cavar a respeito, tais como coleta de informações sobre servidores de email, no entanto, já reunidos este tipo de informação anteriormente como visto na Figura 9.16. É importante, embora, para ser redundante e use pelo menos duas ferramentas diferentes para verificar as informações. Ele sempre é possível que os sites de informação, que é utilizado na Figura 9.16, tornar-se fora da data. Usando a linha de comando definitivamente melhora a precisão dos nossos inforção -basta ter cuidado sobre o que você se conectar a sistemas, especialmente se você estiver tentando ficar em modo stealth.

TIP Gerentes: Você pode querer saber de seu cliente se o conceito de atrasos no DNS atualizações é um problema, especialmente se a disponibilidade é uma grande preocupação. Se o nameserver recebe comprometido ou seqüestrados, você quer DNS propagação aconteça o mais rápido possível, e algumas empresas de hospedagem são terríveis na atualização de registros em tempo hábil.

É possível que meu padrão do servidor DNS tem os dados mais antigos. Comunicando diretamente para ns1.titan.net, podemos acessar as informações mais up-to-date. Além disso, este comunicação direta com ns1.titan.net nos forneceu informações adicionais sobre o servidor de correio, bem como "Start de informação de autoridade "em relação


FIGURA 9,22 Usando os comandos adicionais dentro de nslookup para reunir informações de DNS

Nmap.org. Na Figura 9.22, também usar os comandos adicionais dentro nslookup para expandir a nossa pesquisa. Como você pode ver, há muito mais informações que podem ser reunidos com nslookup do que é sugerido na documentação ISSAF. As ferramentas e os relacionados de linha de comando exemplos sugeridas no ISSAF são muito útil, mas não mostram todas as consultas possíveis. Minha sugestão aos meus alunos é que certamente deve usar as ferramentas de linha de comando e exemplos fornecidos dentro do ISSAF, mas também explorar todas as funcionalidades de cada aplicação, de modo que que possam melhor realizar um teste de penetração.

Contas de email Se o nosso alvo tem um servidor de email (como o nosso alvo não), podemos tentar e criar uma lista de usuários que residem no sistema. Não somente a lista de nomes de ser útil em qualquer ataque de força bruta ou tentativa de login, também podemos usar esses dados para a engenharia social fins também. Fazemos isso através da ligação ao servidor de correio directamente e consultar para um nome de cada vez, de acordo com o ISSAF. Eu não quero fazer isso contra o Nmap.org servidor de e-mail, pois não temos permissão para conduzir testes contra que, por isso vamos mudar metas para aquele que está incluído no DVD que acompanha este livro. Especificamente, vamos direcionar o "Hackerdemia" LiveCD, porque é intencionalmente carregado com serviços para hack contra, incluindo o sendmail. Na Figura 9,23, você pode ver o nosso ataque contra o LiveCD Hackerdemia, usando comandos sugeridas no ISSAF. Fomos capazes de identificar alguns usuários no servidor ("root" e "David") e excluir outros ("qualquer um" e "Michelle"). Este método obriga-nos a experimentar um usuários diferentes em um momento de privacidade, se certas


FIGURA 9,23 Consultando o Hackerdemia LiveCD Server E-mail

configurações são ativos (como "Novrfy" e "Noexpn" como pode ser visto na Figura 9.23). Este processo pode demorar um pouco, dependendo de quantos usuários estão na servidor e nosso conhecimento sobre a convenção de nomeação e-mail.

NOTA Engenheiros: Se você gostaria de desligar algumas das proteções de privacidade para ver o que respostas diferentes você pode obter ao se conectar ao sendmail no disco Hackerdemia, basta editar o arquivo sendmail.cf / etc / mail / e modificar o arquivo comentando a linha começando com "PrivacyOptions". Você precisará reiniciar o sendmail executando o seguinte comando como root: / etc / rc.d / rc.sendmail reiniciar

Você vai notar na Figura 9,23 há uma sugestão de usar "Finger" contra os nossos alvo. Normalmente, você seria duramente pressionado para encontrar uma linha de sistema de computador que ainda permitiu dedo. No entanto, porque o disco Hackerdemia se destina a ser uma ferramenta de aprendizagem, o dedo foi intencionalmente habilitado. Figura 9.24 nos mostra o que podemos esperar quando conectar ao aplicativo dedo. Como você pode ver, esta fornece informações muito mais do que o que recebemos de conexão com o cliente de email, mas, novamente, o dedo é raramente disponível. Sinta-se afortunado se você achar que é ativo em um sistema alvo e ter certeza de que seu cliente desativar a menos que haja alguma necessidade imperiosa de se tornar disponível.


FIGURA 9,24 Resultados da execução "Finger" contra o LiveCD Hackerdemia

Perímetro de Identificação de Rede Em grandes organizações, que muitas vezes encontram zonas desmilitarizadas (DMZ), como parte de seu escopo de destino durante o teste de penetração. O DMZs são (na mais simplista definição), geralmente as redes que se conectam diretamente à Internet e fornecer um buffer entre a Internet ea rede corporativa. A idéia é que você precisa saber se você pode penetrar as defesas do DMZ e romper a rede corporativa. O problema para o testador de penetração é reconhecer onde sua rede de destino começa ea infra-estrutura que conecta o seu alvo para o Internet termina. Tão sensato quanto isso soa, a implementação é muito mais difícil. Você tem ter cuidado com o que os sistemas que você alvo para que você não está atacando um que faz não pertencem ao seu cliente. Muitas vezes existe uma suposição de que os clientes fornecerão lo com os IPs de todos os sistemas que controlam, mas não é incomum para lá para ser descuidos, tais que os sistemas são adicionados a redes sem registros que estão sendo atualizado. Se você encontrar estes "Esquecidos" sistemas, é possível que eles também são negligenciado quando se trata de remendar bem, o que pode fazer o seu trabalho em explorar a rede muito mais fácil. Na Figura 9.25, vemos os resultados de um traceroute para o nosso sistema de destino Inseguro. org. Repare que há um par de nomes de domínio diferentes que temos para investigar mais: us.Above.net e sv.Svcolo.com. Figuras 9,26 e 9,27 a lista "Whois" informação para Above.net e Svcolo.com. Logo, podemos ver que essas sistemas são propriedade de alguém que não seja a pessoa que possui Insecure.org. Se investigamos esses domínios ainda mais, descobrimos que Above.net fornece Internet conexão e Svcolo.com fornece serviços de data center. Vamos dar uma olhada em algo um pouco mais interessante, e que fornece uma melhor compreensão do que pode ser visto durante esta identificação de perímetro. Em Figura 9,28, realizamos um traceroute para o Google.com. Depois hop 6, não vemos qualquer informações sobre a propriedade do servidor, obrigando-nos a investigar mais profundamente. Se nós


FIGURA 9,25 Resultados traceroute para Insecure.org

executar o comando whois no sistema com um IP de 66.249.94.94 (como visto no Figura 9,29 [isso é ok]), vemos que o sistema é de propriedade da Google.com. Neste ponto, agora sabemos a borda da rede começa às 66.249.94.94, e podemos começar o nosso ataque com esse sistema, assumindo que temos permissão. As possibilidades são o dispositivo em hop 7 é um router, e nós poderíamos explorar isso possibilidade com varreduras de portas (o que não fazemos neste exemplo). Mas algo que

FIGURA 9,26 "Whois" Informações para Above.net


FIGURA 9,27 "Whois" Informações para Svcolo.com

FIGURA 9,28 Traceroute para o Google.com


FIGURA 9,29 "Whois" Resultado da 66.249.94.94

é interessante é o número de redes diferentes que hop até chegar ao nosso destino final -74.125.45.100. Se fizermos um whois nos endereços IP restantes, descobrimos que eles são todos de propriedade da Google.com, então a questão é o que acontece entre 7 e hip hop 11 na Figura 9.28. Neste ponto de nosso teste de penetração, nós não precisa fazer qualquer investigação real de profundidade, mas não faria mal saber o que estamos lidando. Para fazer isso, podemos realizar uma scans poucas e simples, apenas para descobrir um pouco mais sobre os dispositivos. Nós não vamos realmente procurar qualquer um dos elementos da rede do Google (de novo, porque nós não têm permissão para fazê-lo), mas eu queria mostrar o que você pode ver quando você escanear uma rede. Na Figura 9,30 vemos os resultados de uma varredura contra um Switch Cisco. Mais tarde, este tipo de informação é muito útil na identificação das tipos de protocolos (e possivelmente os sistemas operacionais) utilizados na rede, que depois leva nós para tentar explora diferentes, mas por agora, podemos usar essas informações para saber se nós se conectando a um switch, roteador, balanceador de carga, relé, ou possivelmente um firewall. Sabendo isto às vezes pode nos ajudar a identificar o perímetro apenas um pouco melhor.

FIGURA 9,30 Nmap Scan de um Switch Cisco


Não há muito o que precisamos fazer para identificar o perímetro da rede, mas é um passo muito importante em qualquer teste de penetração. O principal objetivo desta etapa é fazer com que certeza de que não estão atacando qualquer coisa que não temos permissão para atacar. Se o seu contrato com seu cliente indica endereços IP específicos, então isso torna as coisas muito mais fácil, porque você acabou de tocar esses sistemas. No entanto, se seu trabalho é Pentest uma rede, você precisa estar bem consciente do que está realmente em que a rede e quais sistemas estão fora do escopo. Também estar ciente de que sistemas de destino pode estar bloqueando mensagens de controle da Internet Protocol (ICMP) mensagens, para se esconder de detecção. Vamos falar sobre como detectar sistemas que usam outros métodos no capítulo 10.

Levantamento da rede Uma vez que temos uma idéia de onde nossos limites estão dentro da rede de destino, nós necessidade de identificar todos os dispositivos dentro da rede. Neste ponto, nós não estamos tentando saber o que cada dispositivo é (roteador, switch, firewall, servidor ou qualquer outro) -estamos simplesmente tentando identificar quantos sistemas reside dentro da rede e seus endereço IP associado. Depois, vamos verificar cada um para aprender informações adicionais, mas por agora nós precisamos simplesmente criar um inventário que podemos usar para refinar nossa esforço e ajustar nosso cronograma do projeto, se necessário. Para fazer isso, um exame simples pode normalmente ser suficiente. Na Figura 9,31, você pode ver o resultados de um scan do Nmap em um de meus laboratórios. O scanner detectou quatro hosts

FIGURA 9,31 Nmap Scan on Lab Network


FIGURA 9,32 Netdiscover Resultados em Lab Network

(Incluindo o sistema de digitalização) na rede. O truque para esta etapa, no entanto, é de utilizar pelo menos duas ferramentas diferentes para fazer uma pesquisa de rede contra o seu alvo rede. Não é incomum que um sistema pode não responder a um scanner por causa da mecanismo de segurança presentes no sistema. Para ver isso em ação, na Figura 9,31 nós também pode ver os resultados de um ping contra um par dos sistemas foram identificados na a digitalização Nmap -especificamente 192.168.1.100 e 192.168.1.123. Se nós tivéssemos simplesmente conduzido uma varredura ping contra a faixa de IP, teríamos perdeu pelo menos um alvo da rede. Isso mostra a necessidade de realizar scans e ataques usando várias ferramentas. Você só não sei como um sistema pode reagiria se você só pode usar sua ferramenta favorita. Para seguir meu próprio conselho, eu usei a ferramenta "Netdiscover" para encontrar dispositivos na rede, bem como, como visto na Figura 9.32. Este ferramenta de escuta para o tráfego Address Resolution Protocol (ARP) na rede e capta o que quer que pode pegar. Existem algumas limitações com netdiscover, porque as solicitações ARP não se cruzam routers. No entanto, para a rede do laboratório, esta ferramenta funciona de forma eficaz e identificou todos os sistemas que estão online, e combinar os resultados do scan do Nmap. Isso é realmente a extensão da realização de uma pesquisa da rede. Mais tarde, vamos encontrar uma muito mais sobre todos os sistemas dentro da rede, mas este passo foi simplesmente para começar discriminando dispositivos de rede -não saber tudo sobre eles.

PROJECT MANAGEMENT Como esperado, existem algumas preocupações de gestão de projectos nesta fase do teste de penetração. Como engenheiro, é importante saber o que estas questões são tão quando você começa puxado ou se afastaram um projeto, você vai entender porquê. Especificamente, as ações que mais afetam os engenheiros no final da Coleta de Informações fase é a aquisição e desenvolvimento da equipe do projeto, com base no resultados desta fase. Existem algumas atividades QA, bem como, que envolvem a velocidade e profundidade de seus esforços durante esta fase, no entanto, o melhor uso de QA é para definir uma linha de base de qualidade para futuros projetos de controle de custos -não necessariamente para ditam as ferramentas que você usa ou sites que você visita.


Como gerente de projeto, esta fase começa oficialmente a fase de processos de execução. Se você ainda não completou uma proposta apresentada, o trabalho feito aqui terá um grande impacto em sua oferta para o projeto. Se você está conduzindo um teste de penetração dentro sua própria organização, você terá uma melhor compreensão da quantidade de esforço necessário para completar a tarefa, o que permitirá que você ou o executivo gestão para melhor priorizar este projeto entre todos os outros projetos propostos.

Fase Processo de execução Com o início da coleta de informações, o projeto foi oficialmente transferido para a Execução fase do processo. É nesta fase que os recursos são alocados, inclusive pessoal e sistemas de teste. É também nesta fase que o gerente de projeto tem que lidar com a maioria dos replanejamento que inevitavelmente ocorre durante o ciclo de vida do projeto. Porque esta fase é também onde a maioria dos custos associados ao projecto são alocados, o gerente de projeto precisa ser muito consciente de como a informação encontro pode impactar as projeções do projeto.

Executar QA Antes de iniciar a fase de coleta de informações, o gerente de projeto deve ter desenvolveu um plano de gestão da qualidade junto com métricas de qualidade e listas de verificação (Entre outras saídas). Nesta fase, a recolha de informação de qualidade, é primariamente checklist-driven, que pode ser criado a partir do documento OSSTMM ou a partir do Metodologia ISSAF, dependendo do nível de granularidade que você precisa no trabalho estrutura analítica (WBS). Porque QA e controle de qualidade (QC) envolvem métricas de qualidade, não deve ser comum entre QA e QC no que for utilizado como um mecanismo para determinar métricas. Os exemplos mais tradicionais, como a densidade de defeitos e taxa de falha realmente não traduzem bem para testes de penetração. A melhor solução para métricas nesta fase de coleta de informações seria "Teste cobertura "e os tempo que levou para recolher as informações necessárias. Esses dois fatores também emprestam -se bem a um plano de melhoria de processos ou definição de uma linha de base de qualidade para projetos futuros. Ao lidar com QC nesta fase, a ferramenta ou técnica que funciona melhor para Nesta fase do teste de penetração é o diagrama de Causa e Efeito, também conhecido como o diagrama de Ishikawa, como visto na Figura 9.33. Isto permite uma análise detalhada do como os vários fatores de impacto a capacidade de completar esta fase de forma eficaz. O que você vai encontrar muitas vezes é que as principais causas potenciais para a perda de qualidade envolvem pessoal e método, que, eventualmente, levar para o defeito em QA ou QC. Independentemente da causas reais, as outras ferramentas, incluindo gráficos de controle e fluxograma, não realmente tem a clareza de que o diagrama de causa e efeito terá. Eu vou afirmar que inspeção é outra ferramenta QC você pode usar para controle de defeitos nesta fase; no entanto, pode haver alguns problemas associados com esta ferramenta -especificamente o expertise da pessoa fiscalização e conflitos de interesse se o inspector é um engenheiro já foi atribuído ao projecto.


Causa Máquina

Método

Equipamento Registro incorreto funcionamento defeituoso procedimento

Efeito Material Falta de RSA token

Sem rede acesso Largura de banda muito baixo

Medição

Falta de pessoal para de redefinição de senha

Pessoal

Servidor de login muito ocupado

Ambiente

FIGURA 9,33 Ishikawa Diagrama Causa e Efeito Detalhamento de acesso à rede

Sobre as saídas, o maior benefício é o desenvolvimento da linha de base de qualidade. Ao analisar vários projetos ao longo do tempo, esta base pode refinar o tempo requisitos quase até o custo de tempo por sistema, o que definitivamente ajudar um gerente de projeto melhor os custos do projeto de controle.

Adquirir e Desenvolvimento de Equipe Neste ponto do projeto, você já deve ter pelo menos um ou dois da equipe membros afectos ao projecto, que pode realizar a coleta de informações fase com sucesso. Suas saídas vão impactar seriamente este processo, a equipe, porque membros precisam ter os conhecimentos adequados de acordo com a arquitetura do alvo rede. Isto poderia ser baseado no SO usado nos sistemas de destino ou o protocolos de comunicação usados na rede. Independentemente disso, seus resultados serão requerem habilidades especializadas entre os engenheiros que compõem a equipe final, e a equipe não deve ser finalizado até esta etapa está concluída e os sistemas de destino são identificadas completamente. O plano de gerenciamento de pessoal, desenvolvido na fase de Processo de Planejamento, certamente vai orientar a tarefa de adquirir a equipe do projeto. No entanto, deve haver negociações adicionais e aquisições que ocorrem nesta etapa, para melhor garantir a sucesso do projeto, se ele requer o uso de equipes virtuais, em seguida, que pode ser conseguiu também. Independentemente disso, é importante usar esse Coleta de Informações fase para ajudar a definir o pessoal final sobre a equipe do projeto, e não simplesmente atribuir membros de antemão, para satisfazer um número de funcionários arbitrária. Se você é incapaz de controlar o pessoal designado para a equipe (que é provavelmente a norma, devo admitir), o treinamento a sua equipe se torna uma importante componente para a tarefa de desenvolvimento de projeto de equipe. Naturalmente, é melhor ter alguém da equipe que é fluente em tecnologia o que faz parte da meta


arquitetura de rede, mas se isso não for possível, o tempo e os recursos devem ser alocados para o treinamento. O defeito que pode resultar em não fornecer adequada treinamento é que as vulnerabilidades na rede ou sistema alvo será esquecido e não documentada.

Vendedor Responses pedido Se você já experimentou um dos momentos raros em que a documentação fornecida pelo cliente corresponde à rede de destino ou sistemas exatamente, eu invejo. Normalmente, há discrepâncias entre o que você pensou que seria a penetração testes contra eo que você encontrar no final desta fase, que requer que você voltar para a licitação do projeto e proposta de alteração (ou na pior das hipóteses, abandono do projeto inteiramente). Se você tem alguém conduzindo o processo de licitação (chamado o vendedor neste definição), isso torna as coisas mais fáceis, porque é tirado de suas mãos como um projeto gerente. No entanto, é frequentemente o caso que o gerente de projeto é forçado a ser diretamente envolvidos neste processo, porque eles são supostos ser os que ter um melhor entendimento dos custos envolvidos na continuidade do projeto. Este não é como deveria ser, mas é realidade. Independentemente disso, deve haver uma correlação entre os achados nesta fase do teste de penetração eo status do projeto (se ele procede como é, modificado, caiu, ou repriorizadas). Se o projeto for totalmente confinada dentro de uma organização, os custos continuarão a ser um fator, ea fase de coleta de informações vai ajudar a definir os custos. Se os custos variâncias são constricted, esta fase será mais provável impacto apenas a priorização do projeto.

Processo de Monitoramento e Controle Como mencionado anteriormente, o processo de monitoramento e controle é um processo contínuo que engloba todas as outras fases do projeto. Na Coleta de Informações fase, os processos de gerenciamento de projetos que têm maior relevância são Verificação do Escopo, Controle do escopo, Controle do Cronograma e Controle de Custos. Este não significa que os outros processos, como Gerenciar a equipe do Projeto, Gerenciar Partes interessadas, relatórios de desempenho, e assim por diante, não são importantes -é só que estes quatro processos têm impacto maior nesta fase da penetração teste, eo que vamos discutir neste capítulo.

Verificação do Escopo Na conclusão da fase de coleta de informações do teste de penetração, o gerente de projeto deve ser capaz de "Request mudanças "e "Recomendo corretivo ações "para o desempenho futuro do projeto. As solicitações de mudança ao projeto escopo pode ser significativa com base nos resultados nesta fase, especialmente se o alvo sistemas ou rede é dramaticamente mais complicados ou diverso do que inicialmente apresentado pelo cliente.


A única ferramenta recomendada para Verificação do Escopo, de acordo com o PMBOK, é Inspeção. Isso pode envolver a revisões e auditorias, que tendem a ser mais eficaz. A chave para comentários para verificação do escopo é o de incluir objecto especialistas.

Controle do escopo Nesta fase, aumento do escopo é uma ameaça real e pode impactar negativamente no geral sucesso do projeto. No final da fase de coleta de informações, haverá com toda certeza, outras áreas que poderiam ser incluídos na pentest projeto. Gestão de mudanças adequada usando um processo de controle integrado de mudanças é provavelmente a melhor maneira de controlar a fluência neste tipo de projeto. Ou não mudanças de escopo são necessárias ou apropriadas, obviamente, envolve um monte de input das partes interessadas adequadas, mas se feito dentro do contexto de uma Integrado Processo de mudança de controle, os custos podem ser controlados melhor, e qualquer impacto para o escopo pode ser comunicada de forma mais eficaz.

Controle da programação Esperemos que, no final da fase de Coleta de Informações, você não vai precisar fazer qualquer alteração do cronograma do projeto. Certamente haverá algumas modificações para pessoal, mas o cronograma do projeto em si só deve mudar se não são significativos diferenças entre o que era esperado e que está realmente presente no alvo rede eo alcance é modificado para refletir tais diferenças. Se a agenda é inflexível, há algumas opções que podem ser implementadas: mudança de pessoal, modificar o escopo, ou comprimir o WBS. Infelizmente, é geralmente o WBS, que sofre quando o cronograma cronograma não pode ser modificado. Isto é normalmente opção pior em um teste de penetração, pois a constrição do WBS geralmente envolve a adição de tarefas adicionais e tendo tempo longe de outras tarefas para compensar. O resultado final é que todas as tarefas são realizadas em menos de ótima eficácia. Como mencionado anteriormente neste livro, identificação de vulnerabilidades e criar exploits que os sistemas de compromisso, muitas vezes são muito demoradas, porque mais compromissos nem sempre são prontamente disponíveis. Como gerente de projeto lidar com uma projeto de teste de penetração, muitas vezes é melhor para o sucesso do projeto para modificar o escopo ou o pessoal antes de modificar o WBS.

Controle de Custos Com qualquer alteração no projeto, há quase inevitavelmente uma mudança no custo. Depois o gerente do projeto ajusta todas as outras saídas do processo (como o agendamento, pessoal, e assim por diante), controle de custos devem ser implementadas. A grande parte da controle de custos é a gestão correcta dos comandos mudar, especialmente comunicação desses controles. Se as partes estão conscientes dos custos associados com todas as mudanças, controle de custos são mais fáceis de gerenciar. A melhor ferramenta para um projeto gerente trabalhando em um projeto de teste de penetração é a previsão. A fórmula mais úteis na previsão é "Estimar para terminar (EPT) com base em variações típicas ", que é usado quando as alterações são consistentes ao longo do projeto ou futuro


projetos. A ETC é a quantidade necessária para completar todas as restantes trabalho, que significa que o custo total do projeto é o ETC mais o dinheiro já gasto. A fórmula para determinar ETC baseada em variações típicas é ETC = (BAC -EV) / CPI, onde ETC = estimativa para terminar; BAC = orçamento no término; EV = ganhou valor; IPC = índice de desempenho de custo = EV / AC; AC = custos reais. Orçamento no término (BAC) é o custo total orçado do trabalho programado e pode se referir a qualquer parte do projeto. Ao gerenciar um projeto pentest, o melhor método de cálculo do BAC é utilizar o custo orçado de todo o projeto, incluindo os custos associados com atividades de acompanhamento. O valor agregado (EV) é o valor orçado do trabalho já concluído em o projeto. Na fase de coleta de informações, isso vai ser significativamente menor do que em fases posteriores. O componente final de nossa equação é o desempenho de custo (IPC), que é uma relação que indica se o projeto está atualmente acima do orçamento ou abaixo do orçamento, e é calculado pela divisão do VE pela custos reais (AC). Vamos trabalho um exemplo real. Digamos que a estimativa original para o orçamento foi de US $ 50.000 para quatro semanas. No entanto, no final da fase de coleta de informações, determinou-se que há eram sistemas adicionais que aumentaria a carga de trabalho total dos engenheiros e forçar uma extensão do projeto por uma semana. Para chegar a esta fase do projeto, digamos que passaram de 20 por cento do nosso orçamento total, ou US $ 10.000. Mas porque agora estamos uma semana atrás, o nosso EV seria menor do que os $ 10.000 que já gasto. Porque o horário aumentou 25 por cento, o que podemos fazer uma rápida análise e simplesmente dizer que a nossa EV é diminuída em 25 por cento, dando-nos um EV de US $ 7.500 (você pode gastar mais tempo de computação que este seja mais precisa, mas vamos mantê-lo simples para este exemplo). Para determinar o ETC, nós plug todos os valores para o acima equação e temos o seguinte:

BAC = $ 50.000 EV = $ 7.500 AC = $ 10.000 CPI = EV / AC = 0,75 ETC = ($ 50.000 -$ 7500) / 0,75 = $ 56.667 Com base nesta fórmula, nós sabemos que precisamos de um adicional de US $ 16.000 e mudança para completar o projeto (porque só deixaram 40 mil dólares americanos), ou um aumento de 33 por cento do orçamento total. Transmitir essa informação para os interessados deverá permitir-lhes tomar uma decisão sobre se deve ficar com o escopo inicial e excluir os sistemas recém-descoberto a partir do teste de penetração ou alocar fundos adicionais para realizar uma avaliação mais aprofundada.


RESUMO Este primeiro passo dentro de um teste de penetração profissional requer muito esforço e é, infelizmente, muitas vezes esquecido, ou simplesmente feito sem entusiasmo. Parte do razão parece ser que os próximos passos dentro de um teste de penetração são muitas vezes considerado mais emocionante (especialmente quando lidamos com exploits de execução), e não é incomum que as pessoas para tentar apressar esta parte para obter o "Diversão material. "Embora eu possa certamente concordo que essa parte é, talvez, mais chato do que a iminente passos dentro de um teste de penetração, eu encontrei esta fase de qualquer projeto a ser o mais gratificante, tanto como engenheiro e como um projeto gerente. Esta fase economiza tempo tremenda sobre a vida do projeto se fez corretamente. Para os gestores, refinando a sua compreensão do alvo durante o Fase de coleta de informações pode melhorar o seu entendimento da equipe de projeto necessidades, requisitos de escopo, cronograma e pressões. Simplificando, a mais trabalho feito na fase de coleta de informações de um teste de penetração, mais eficiente e precisa seu projeto de teste de penetração será. Para os engenheiros, compreender que tipo de sistemas que você está lidando com a vontade de ajudar a eliminar exploits ineficaz e reduzir a quantidade de documentação que você precisa ler para entender melhor o aplicativo ou o protocolo que você está atacando mais tarde, em pentest seu. Nós fomos ao longo de muitas das diferentes maneiras de reunir informações sobre a nossa alvo, incluindo os ataques passivos e ativos. Eu tenho referenciado bastantes Web sites diferentes para usar durante esta fase. No entanto, o que você deve sair da desta seção não é o que sites para ir, mas que tipo de informação que pode obter online sem nunca tocar a rede do alvo. Utilizando os recursos disponíveis para o público em geral, é possível construir uma imagem clara do seu destino sem enviar um único pacote para a rede do seu alvo. Lembre-se que esta informação pode ser obtida sem conexão com a rede de destino, mas talvez a coisa mais importante a lembrar é que informação que você recolhe -mesmo que seja em sites públicos -não pode ser domínio público. Cuidados devem ser tomados para lidar com todas as informações sobre um cliente, até mesmo as informações encontradas na Internet.

As soluções da FAST TRACK Coleta de Informações Passivas ■

As informações são coletadas de fontes externas de rede do alvo, principalmente a partir da Internet.

■

Informação recolhida nesta fase pode não ser de domínio público -manusear todas as informações como se fosse restrita material.


■

Estar ciente do que sistemas que você está se conectando -é possível inadvertidamenteconsistentemente se conectar à rede do alvo, a menos que regras de firewall ou aplicações são configurados para bloquear toda a comunicação da rede do alvo.

■

Os últimos dados nem sempre é o mais informativo -usar os recursos de arquivamento sempre que possível para ver como o alvo mudou ao longo dos anos.

Coleta de Informações ativos ■

Ter uma compreensão clara dos limites do alvo e apenas conectar-se a esses sistemas que você tem permissão explícita para comunicar.

■

Sempre usar pelo menos duas ferramentas diferentes para verificar as informações recolhidas.


QA métodos que funcionam melhor para esta fase do teste de penetração é a Causa e diagrama de Efeito, também conhecido como o diagrama de Ishikawa.

■

Use a fase de coleta de informações para ajudar a definir a equipe na final equipe do projeto.

■

Aumento do escopo pode se tornar um problema nesta fase, o que pode impactar negativamente o o sucesso global do projeto.


Quando eu sei que tem informação suficiente? Você nunca vai ter todas as informações que você precisa antes de ir para o próximas fases do teste de penetração. Não é incomum que você precisará retornar a esta fase para coletar informações adicionais, com base nos achados mais tarde. Seguir em frente quando você entende de rede do alvo suficiente para iniciar o Vulnerabilidade fase de identificação.

Q:

Como faço para encontrar os grupos Web contendo empregado e / ou empresa comentários? A maneira mais fácil é a busca de endereços de correio electrónico -muitas vezes engenheiros post seu endereço de e-mail em suas mensagens, especialmente em fóruns. Isso facilita um resposta mais rápida. Entretanto, esteja ciente de que o endereço de e-mail pode ser modificada para se esconder de software Web rastejando projetado especificamente para colheita endereços de correio electrónico para fins de spamming. Como ilustração, se a empresa nome de domínio é example.com, você pode precisar de pesquisa para "Exemplo ponto com "ou combinações de palavras ainda mais complicada.

A:


Q: A:

Q:

Não consigo encontrar informações sobre um alvo em sites de arquivamento. Por quê? Google.com e Archive.org tem uma política que permite que proprietários de dados para solicitar os seus dados sejam removidas de qualquer processo de arquivamento. A razão pode ser com base nas necessidades legais para evitar a confusão ou para proteger-se da hackers que usam esses sites para coletar informações para ataques maliciosos. Eu fiz algumas coleta de informações sobre mim e ficou horrorizado com o que eu encontrado. Como faço para obter as informações retiradas da Internet?

A:

Algum material é necessário para ser uma informação pública, especialmente muitos registros do governo, tais como escritura de terra, corte, casamento e óbito. Como agências de governo ver o benefício de acesso a esses registros em movimento para a Internet, esperar mais desses registros a serem disponibilizados e privacidade para ser diminuído em geral. Informação que não é o registro público pode ser removida em algumas circunstâncias, especialmente se você é o autor titular da informação, caso contrário, pode não haver muito o que fazer. Procurar aconselhamento legal é o melhor conselho que posso oferecer.

Q:

Qual é a melhor maneira de evitar o superdimensionamento do escopo desta fase do teste de penetração? Creep maioria vem do âmbito engenheiros teste de penetração nesta fase. Engenheiros vai encontrar muitas vezes os sistemas que não estão dentro da lista de alvos, que podem conter vulnerabilidades exploráveis. Se estas metas podem ser adicionados sem afetando seriamente o projeto, o melhor é usar o gerenciamento do escopo do projeto plano e do sistema de controle de mudanças para obter as metas adicionado ao escopo. Se o custo ou risco é proibitivo, o cliente deve estar ciente do omissão e um teste de penetração de acompanhamento deve ser agendada.

A:

Expandir suas habilidades Quer saber sobre a coleta de informações? Os exercícios seguintes destinam-se para lhe fornecer conhecimentos e competências adicionais para que você possa compreender este tópico melhor. Seleccione uma grande corporação dos EUA para este exercício.

Exercício 9.1 Presença de pesquisa Web Corporativa Utilizando Coleta de Informações Passivas 1.

Identificar o nome de domínio associado à sua corporação escolhido.

2.

Descubra todos os subdomínios de seu domínio de destino.

3.

Identificar os endereços IP associados com o domínio de destino. São eles os mesmo ou localizadas em servidores diferentes?

4.

De acordo com o site corporativo, o que é a informação de contacto e localização para a sua corporação escolhido? Qual site você usou para obter essas informações?


5.

Identificar os executivos e todas as informações de contato, se disponível. O que site você usou para obter essas informações?

6.

Lista de todos os endereços de e-mail você pode encontrar.

Exercício 9.2 Pesquisa para Registros Corporativos 1.

Consultar a Declaração de rendimentos & Formas site (www.sec.gov / edgar.shtml) para informações a respeito de sua corporação escolhido. Identificar os nomes dos os funcionários da empresa sobre os mais recentes arquivamentos.

2.

Identificar o estado em que a corporação é incorporado. Visita que o estado Web site de negócios e gravar o máximo de informações possível, incluindo informações de contato. Faz o jogo informação de contato que a encontrada em Exercício 9.1, pergunta 4? Se não, explicar a discrepância.

EXERCÍCIO 9,3 Explore Sites Employee 1.

Visite sites de rede social da Web, como Facebook e LinkedIn, e listar qualquer grupos associados à sua corporação escolhido.

2.

Identificar eventuais funcionários das empresas que são membros dos grupos da rede social. Identificar os engenheiros dentro do grupo e sua lista de hardware ou software certificações.

3. 4.

Escolher alguns dos engenheiros mais ativa no grupo e procurar Web sites pessoais. Existe alguma informação que auxilia a sua compreensão da rede de sua empresa é escolhida?

EXERCÍCIO 9,4 Identificar informações Plant Corporate Física 1.

Usando as informações de localização reunidos no Exercício 9.1, questão 4, consulta Google para um mapa. Se houver um Street View, você pode identificar a envolvente edifícios ou estruturas?

2.

Identificar um local potencial para conduzir um ataque sem fio ou o esforço de vigilância contra a sua corporação escolhido.

Referências 257

EXERCÍCIO 9,5 Conduta de Vigilância de Rede 1.

Usando o aplicativo, whois, obter informações da rede acerca do seu destino domínio.

2.

Usando OpenDNS.com, realizar uma varredura de sua rede de destino usando escavar e nslookup. Há qualquer discrepância entre os resultados de escavação, nslookup, e whois?

3.

Realizar um traceroute para o seu domínio de destino. Identificar eventuais dispositivos de rede que são de propriedade da sua empresa-alvo.

Referências Google Inc. (2009). Engenheiro de Produção - Mountain View. http://www.google.com/support/ empregos / bin / answer.py? answer = 135653 Mertvago, P. (1995). O dicionário Russo-Inglês comparativa de provérbios russos e provérbios. New York: Livros Hippocrene.


CAPÍTULO

Identificação da vulnerabilidade

10

SOLUÇÕES NESTE CAPÍTULO Port Scanning ................................................ ........................................ Identificação do sistema ................................................ ................................ Identificação dos serviços ................................................ .............................. Identificação da vulnerabilidade ................................................ .........................

260 272 275 278

INTRODUÇÃO Долг долга платит. -Provérbio russo: "Uma por sua vez mal merece outra. " (Mertvago, 1995)

Neste capítulo, examinamos os sistemas mais perto do que fizemos durante a Informação Fase de coleta; na fase anterior do teste de penetração, foram coletados dados em sistemas operacionais (SO), Protocolo de Internet (IP), dados do aplicativo, e mais a partir de fontes na Internet. Durante a identificação de vulnerabilidades fase, vamos usar essas informações para moldar nossas sondas e comunicar-se diretamente com as metas com a intenção de identificar ameaças e vulnerabilidades potenciais. Para entender quais tipos de vulnerabilidades existem em um sistema de destino, precisamos saiba detalhes sobre o sistema operacional, quais serviços estão disponíveis no servidor, e os informações sobre a versão da aplicação. Assim que tivermos esses dados, podemos consulta nacional bases de dados sobre as vulnerabilidades para determinar se o sistema de destino pode ser vulnerável para o ataque. Nesta fase, não realizar qualquer exploits, que será nos próximos capítulo. Por enquanto, estamos simplesmente a auditoria do sistema para ver quais os riscos que possam existir não provar sua existência. Também exploramos diferentes técnicas utilizadas para coleta de informações do sistema: varre especificamente, ativa e passiva. Passivo analisa permitirá o engenheiro de teste de penetração para evitar a detecção, enquanto varre activo proporcionam maior profundidade de informações mais rapidamente. Um obstáculo é que muitas vezes encontro firewalls, que podem filtrar nossas sondas. Vamos procurar formas de serviços de detecção, apesar da existência de firewalls através da 259 manipulação Teste de Invasão profissional Copyright © 2010 by Syngress Press Inc. Todos os direitos de reprodução em qualquer forma reservada.

260 CAPÍTULO 10 Identificação da vulnerabilidade

pacotes de rede. Vamos examinar o Transmission Control Protocol (TCP) e Internet Control Message Protocol (ICMP) em detalhes para entender exatamente qual o tipo de tráfego de rede que estamos usando para detectar sistemas e como podemos modificá-los para evitar restrições de firewall.

PORT DE DIGITALIZAÇÃO Ao realizarmos uma varredura de portas, há dois objetivos: 1) a verificação da existência do sistema de destino, e 2) a obtenção de uma lista de canais de comunicação (Portas) que aceitar conexões. Mais tarde, vamos tentar identificar o que as aplicações são os canais de comunicação, mas por agora nós simplesmente querem enumerar quais portas estão abertas. Nesta seção, vamos utilizar as ferramentas de um casal diferente, mas não assumir que as ferramentas listadas são os únicos disponíveis para varredura de portas e enumeração. O disco BackTrack tem uma série de ferramentas capazes de fazer de porta varredura e enumeração sistema. Além disso, www.sectools.org / app-scanners.html também lista as ferramentas mais populares hacking relacionadas com varredura de portas.

Tools & Armadilhas ... Seu Oponente Lembre-se, a rede de engenheiros responsável pela manutenção e garantir o seu pentest alvo deve projetar sua rede e endurecer seus sistemas de tal forma a tornar este fase do teste de penetração muito difícil para você realizar, você precisa tentar como muitos diferentes testes como possível enganar informações fora da rede. Contra um muito talentoso engenheiro de rede, você não vai conseguir tudo, mas você pode obter o suficiente.

Embora não vamos mergulhar muito profundamente os conceitos de portos e comprotocolos de comunicação, é importante compreender não apenas o protocolo estruturas, mas também como o uso de ferramentas (ou mau uso) os protocolos para se comunicar com o alvo. Discutimos diferentes técnicas de exploração e protocolos para determinar se um sistema está disponível, e como o sistema está se comunicando. Nosso trabalho durante a fase de coleta de informações pode ter fornecido nos com alguma idéia de sistemas, aplicativos e sistemas operacionais dentro da rede de destino; No entanto, precisamos aprofundar. O primeiro passo nesta fase muitas vezes envolve digitalização de uma rede para identificar todos os sistemas disponíveis. Para este capítulo, procedemos imediatamente com a digitalização de metas específicas, em vez de examinar a rede como um todo. Nós finalmente identificar todos os sistemas na rede usando passiva técnicas de exploração, mas o verdadeiro propósito neste capítulo é localizar potenciais vulnerabilidades.

Port Scanning 261

Verificação alvo Antes de iniciar a digitalização de todas as portas abertas em um sistema, muitas vezes é prudente para começar a tarefa de verificar a existência do alvo. Há um par maneiras que nós podemos fazer isso, inclusive usando o protocolo TCP e User Datagram Protocol (UDP) protocolos. No entanto, a nossa primeira tentativa de verificação de destino será a usar o PING comando, que usa o ICMP. O ICMP é definido na RFC 792, e fornece redes e da informação do sistema, incluindo detalhes sobre os erros encontrados. O Comunicação ICMP ocorre na camada Internet do modelo TCP / IP, ou o Camada de Rede do modelo de interligação Open Systems referência (OSI). NOTA Enquanto não entrar em nenhum detalhe sobre o TCP / IP e os modelos de referência OSI, vamos se referir tanto extensivamente neste livro. Informações sobre TCP / IP podem ser encontrados em RFC 1180, em www.ietf.org/rfc/rfc1180.txt. O modelo de referência OSI é explicado na ISO / IEC 7498-1:1994, no seguinte site: http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html

Scans Active Para o nosso propósito, há duas mensagens que usamos dentro ICMP para determinar se o nosso alvo é vivo: Echo Request e Echo Reply. Um exemplo do ICMP Echo Echo ou mensagem de resposta pode ser observado na Figura 10.1. O pedido inicial do nosso sistema de ataque irá definir o campo Tipo de "8" e enviar o datagrama para o sistema de destino. Se o sistema de destino é configurado para responder a solicitações de eco, o alvo irá retornar um datagrama usando o valor de "0" no Tipo de campo. É possível que os sistemas são configurados para ignorar requisições ICMP, para fornecer

ICMP Echo ou mensagem de resposta de eco 32 Bit 0

15 16

TIPO

CODE

IDENTIFIER

31

CHECKSUM

NÚMERO SEQÜÊNCIA

DATA (usado somente para preenchimento conforme necessário)

TIPO 85PEDIDO ECHO 05ECHO REPLY

FIGURA 10.1 Cabeçalho da mensagem ICMP


alguma proteção contra scans aleatória de usuários mal-intencionados, por isso os resultados não são sempre preciso. NOTA O "Identifier" e "Sequência Número "pode mudar para outras áreas, dependendo o tipo de mensagem ICMP. Para melhor compreender as mensagens ICMP, a última versão está disponível em www.ietf.org/rfc/rfc792.txt. Uma cópia do RFC foi incluído no Hackerdemia LiveCD incluído no DVD por conveniência.

Um exemplo de uma solicitação de ping bem-sucedido pode ser visto na Figura 10.2. Vemos que 64 bytes de dados foi enviado para o nosso alvo três vezes, e cada vez que o alvo respondeu. São fornecidas informações adicionais, incluindo o tempo que levou para obter uma resposta do alvo. Como uma nota lateral, Linux e Windows manipular as solicitações de ping um pouco diferente, uma das maiores diferenças é que o Windows vai nos dizer quando um pacote é descartado, enquanto que o Linux não vai nos dizer até que cancelar o pedido de ping. Outra é que o Linux vai ping para sempre até encerrada ativamente -a única razão pela qual recebeu apenas três pacotes ping do nosso destino usando Linux é porque eu parou naquele ponto. Informações de latência é útil para ajustar a velocidade de seu ataque, mas não muito útil para fins de apuração da disponibilidade de um alvo. Vamos dar uma olhada Figura 10.3, onde nós enviamos outro ping em um destino diferente (a 1,100 De-ICE disco), mas desta vez o sistema alvo é bloquear todo o tráfego ICMP. Figura 10.3 mostra que 24 pacotes foram enviados para o sistema alvo, e não respostas de eco foram recebidos em troca. Se nos baseamos apenas na ICMP para confirmar a existência de um sistema, nós ter perdido este servidor particular. Porque é possível que mensagens ICMP podem ser desativado para 192.168.1.100, uma ferramenta alternativa deve sempre ser usado para verificar o nosso descobertas. Uma ferramenta que usaremos extensivamente neste livro é o Nmap scanner de porta. Nmap é curto para "Rede Mapper "e é um projeto open-source disponível a partir de

FIGURA 10.2 Pedido Ping sucesso

Port Scanning 263

Figura 10.3 Pedido de ping sem sucesso

Figura 10.4 Nmap Ping Scan

www.nmap.org. Se não estamos ligados ao segmento de rede que contêm os nossos sistema de destino, podemos usar o Nmap para tentar detectar o nosso alvo. Figura 10.4 mostra a resultado de um ping scan do Nmap (-SP). Vemos que o Nmap foi capaz de detectar o nosso objectivo, embora o nosso ICMP anterior solicitação de eco não teve sucesso. Qual foi a diferença? Acontece que, o ping Nmap scan envia dois datagramas -um pedido de eco ICMP e um pacote TCP ACK. Se nós capturamos os pacotes entre o alvo eo sistema de ataque, veríamos que a solicitação de eco ICMP não gerou qualquer resposta, enquanto o pacote TCP ACK seduzido com sucesso o nosso alvo para divulgar a sua existência. É importante compreender o que realmente ocorre dentro das ferramentas que usamos durante um teste de penetração. O termo Ping scan é um tanto inapropriado, considerando que um pacote TCP é enviado também na digitalização. Embora este detalhe técnico pode parecem menores, deve-se notar que o sistema de destino não chegou a responder a uma solicitação de ping, apesar do que implica Nmap e deve ser reconhecida em todos os relatórios. AVISO Os exemplos neste livro supor que você está realizando ataques como quer "Root" (Para sistemas UNIX / Linux), ou "Administrador" (Para sistemas Microsoft Windows). Os resultados podem ser drasticamente diferentes ou mal sucedida, se realizada como um usuário normal.

Se quiséssemos realizar um scan de rede, que teria modificado o scan do Nmap pedido nesse sentido. Se quiséssemos identificar todos os sistemas dentro de uma rede usando


o Nmap ping scan, nosso comando teria sido nmap -SP 192.168.1.1-255 ou nmap -SP 192.168.1.0/24. Há muita flexibilidade na designação que tem como alvo Nmap deverá analisar, que é detalhado na documentação do Nmap.

Scans passiva Quando estamos no mesmo segmento de rede como o alvo ou o caminho do pacote, podemos ouvir conversas de rede para detectar sistemas. A vantagem é que fazemos Não tem que enviar todos os pacotes de dados, permitindo-nos ser menos óbvia sobre o nosso intenções. Figura 10.5 apresenta os resultados de tráfego de rede na minha rede de laboratório. Como nós pode ver, 192.168.1.100 está vivo e se comunicando dentro do segmento de rede, o que invalida os resultados obtidos na Figura 10.3. Uma vez que tenhamos identificado um sistema está vivo, podemos prosseguir para a próxima etapa de descobrir quais portas estão abertas, fechadas ou filtradas em nosso alvo.

UDP Scanning UDP scan tem muitas desvantagens, é lento quando comparado ao scans TCP, ea maioria das aplicações exploráveis usar TCP. Além disso, os serviços UDP apenas responder a uma solicitação de conexão quando o pacote de entrada coincide com o protocolo esperado; qualquer scan UDP tem de ser seguido com as tentativas de conexão. Apesar da desvantagens, o escaneamento UDP é um componente essencial na verificação alvo e compreensão da rede de destino. Há quatro resultados possíveis de voltar de uma varredura UDP: ■

Aberto: O scan UDP confirmou a existência de uma porta UDP ativa.

■

Abrir / filtrada: Nenhuma resposta foi recebida do scan UDP.

■

Fechado: Um ICMP "Port resposta "inalcançável foi devolvido.

■

Filtrada: Uma resposta ICMP foi devolvido, à excepção "Port inacessível. "

Figura 10.5 Rede passiva Sniffing

Port Scanning 265

Quando um resultado aberto ou fechado é obtido a partir de um scan UDP, podemos assumir que o sistema de destino está vivo e podemos nos comunicar com ele diretamente (em que medida ainda precisa ser determinado). Da experiência, regras de firewall são frequentemente escritos para impedir ataques TCP; scans UDP não são a maioria dos administradores algo firewall pensar e, portanto, não filtram. Se a nossa scans TCP inicial não encontrar a nossa meta sistema, podemos usar scans UDP como um método de acompanhamento de detecção. Quando recebemos a resposta aberta / filtrada ou filtrada, há uma boa chance um firewall ou um sistema de prevenção de intrusão é interceptar nossas sondas. Infelizmente, os sistemas também pode ser configurado para ignorar solicitações de conexão UDP também. Quando recebemos um resultado indicando filtragem está ocorrendo, temos de ajustar o nosso ataque em conformidade, por meio de varreduras para evitar vários perímetro, discutido abaixo.

TCP Scanning A maioria das aplicações interessantes a partir de uma perspectiva pentest usar TCP para comunicar através da rede, incluindo servidores Web, transferência de arquivo aplicações ções, bases de dados, e muito mais. Existem algumas ferramentas diferentes que podemos usar para determinar estado da porta, mas para esta seção, vamos usar duas ferramentas: Nmap e netcat. Compreendendo os campos no cabeçalho TCP, visto na Figura 10.6, vai nos ajudar para identificar o que está ocorrendo quando fazemos lançamento alguns dos scans mais avançados. De interesse particular no cabeçalho é os bits de controle de partida no bit 106, URG rotulados, ACK, PSH, RST, SYN e FIN. Estes bits de controle são usados para fornecer confiabilidade de conexão entre dois sistemas. 32 Bit 0

15 16

PORT SOURCE

31

PORT DESTINO

NÚMERO SEQÜÊNCIA

Número de reconhecimento DATA OFFSET

RESERVADOS

U R G

A C K

P S H

R S T

S Y N

F Eu N

CHECKSUM

POINTER URGENTE

OPÇÕES

DATA

Figura 10.6 Formato da TCP

JANELA


Figura 10.7 Port Scanning Usando Netcat

Nossa primeira tentativa em identificar portas em um alvo será com a ferramenta netcat. Na Figura 10.7, que sonda o De-ICE 1,100 disco para uma lista de portas disponíveis. Para questão de simplicidade, apenas a varredura de portas 20 a 25 e descobriu que três portas estavam abertas: 21, 22 e 25. Embora netcat forneceu-nos com sugestões como de quais aplicativos estão em cada porta aberta, não podemos confiar no que diz netcat, porque ele usa um palpite -ele não envia os dados para confirmar o que aplicátions estão em execução. Nossa próxima ferramenta irá demonstrar este problema. Quando executar o Nmap contra um alvo diferente, como pode ser visto na Figura 10.8, estamos apresentada uma lista de portos e aplicações suspeitas. Infelizmente, o serviço identificado pelo Nmap na porta 10000 é incorreto. Vamos confirmar isso mais tarde neste capítulo na seção "Banner Agarrando ", mas isso ilustra a necessidade de validar os nossos resultados com diferentes ferramentas. A lista de aplicativos em esta verificação Nmap também é um palpite, e não verifique qualquer informação do aplicação em si. Nossa varredura é uma varredura muito básica e não usa os pontos fortes do Nmap muito bem. A varredura realizada em Figura 10.8 fornece-nos uma rápida olhada no sistema, mas não oferece muita certeza quanto ao que é realmente sobre o nosso alvo. A verificação padrão

Figura 10.8 Nmap Scan contra pWnOS Server

Port Scanning 267

simplesmente envia uma solicitação de conexão TCP para o sistema de destino e vê se alguma coisa volta -não completar o TCP handshake de três vias. É possível que um firewall está alterando os pacotes e nos fornecer informações incorretas. Vamos dar uma olhada em algumas técnicas de digitalização alternativa usando o Nmap.

TCP Connect Scan (-sT) A conexão TCP scan é o método mais confiável para se determinar a actividade portuária, que realiza uma completa handshake de três vias TCP, como mostrado na Figura 10.9. A desvantagem para uma conexão TCP scan é que a quantidade de tráfego necessários para confirmar a existência de um pedido é muito maior e pode ser notado por sistemas de detecção de intrusão (IDSs). A vantagem é que depois de um TCP Digitalização de conexão, vamos saber com certeza se um aplicativo está realmente presente ou não.

TCP SYN Stealth Scan (-sS) O TCP SYN scan é o stealth scan padrão para Nmap, que realizamos na Figura 10.8. Ao contrário do TCP conectar digitalização, o SYN stealth scan cria uma semi-aberto de conexão, como visto na Figura 10.10. Depois de receber um SYN / ACK do o servidor de destino, o sistema de ataque simplesmente fecha a conexão com um RST. O vantagem deste ataque é simplesmente uma redução no tráfego sobre o alvo do servidor rede por não completar o handshake de três vias. Enquanto isso pode ajuda contra IDSs, a vantagem real é o aumento da velocidade de varreduras contra numerosos objetivos. A conexão TCP SYN scan scan e vai revelar-se útil na maioria dos scans. Se um firewall é entre o ataque eo sistema alvo, os métodos de ataque adicional deve ser considerado, para detectar a presença de um sistema e suas aplicações.

NMAP conexão TCP scan SYN Seqüência de eventos

SYN / ACK ACK DATA RST

Sistema de ataque

Figura 10.9 TCP handshake de três vias

Servidor de destino


NMAP TCP SYN scan

Seqüência de eventos

SYN

SYN / ACK

RST

Sistema de ataque

Servidor de destino

FIGURA 10,10 TCP SYN Scan

Perímetro Scanning Avoidance Nmap tem muitas opções diferentes que podemos usar quando a digitalização de um sistema ou rede segmento; alguns deles são destinados a evitar firewalls, que é onde o controle da bits mencionado anteriormente entram em jogo. Tipos de exames que ativar o controle de diferentes bits■dentro scanner são oasbitseguintes: Scan do ACK (-SA): Nmap Isso ativa ACK. Esta verificação será enviar um ACK para o sistema de destino, na esperança de que o firewall irá assumir uma comunicação canal já existe entre o atacante eo sistema de destino. ■

Scan FIN (-sF): Este scan liga o bit FIN, que só deve estar presente no final de uma sessão TCP stateful. A FIN é enviado para o sistema alvo, no espera que o firewall irá assumir um canal de comunicação já existe entre o atacante eo sistema de destino. Firewalls sem estado normalmente só filtrar pacotes SYN, de modo que o FIN alheios pode passar despercebida.

■

Null scan (-SN): A "Nulo" ataque é quando um pacote TCP é enviado com todo o controle bits definido para zero. O pacote é enviado para o sistema de destino na esperança de que algo se queixa sobre o pacote -de preferência o sistema alvo. Firewalls sem estado normalmente só filtrar pacotes SYN, de modo que o vazio pode ir despercebido.

■

Xmas Tree scan (-sX): Um ataque de árvore de Natal é aquela onde cada bandeira é ligado dentro de um pacote TCP. Porque um pacote com todos os bits de controle ativado não significa nada dentro do protocolo TCP, firewalls sem estado pode deixar o ataque através, porque normalmente só filtro de pacotes SYN e não pode ser olhando para este tipo de anomalia.

Todos os quatro destas pesquisas são usados para detectar sistemas e protocolos que são ativos, mas fazê-lo através da manipulação do protocolo TCP nas maneiras que não respeitam a norma práticas de comunicação.

Port Scanning 269

Null Scan Attack (-SN) Figura 10.11 são apresentados os resultados de um scan Null contra o disco pWnOS. Os resultados mostrar as mesmas portas como aqueles encontrados em Figura 10.8, com uma diferença -Nmap não sabe se as portas estão realmente abertas ou estão sendo filtrados. De acordo com a RFC 793, se uma porta está realmente fechada, um reset TCP (RST) pedido devem ser devolvidos, e se uma porta é filtrada, o sistema deve retornar um ICMP erro inacessível. Neste caso, porque nem RST, nem uma mensagem ICMP foi recebido, o pacote teve de ser abandonada, seja pelo sistema ou por um firewall. Se o sistema de destino deixou-a cair, isso significa que o aplicativo em execução na porta recebeu e depois ignorou. Se um firewall filtrada, nós realmente não sei se o sistema for vivo ou não, e deve tentar scans adicionais para ver se podemos obter uma melhor imagem da quais portas estão ativos no sistema de destino.

Scan ACK (-SA) Figura 10.12 mostra o tráfego capturado de um scan ACK contra um sistema alvo usando Nmap. Podemos ver que o nosso sistema de ataque (com o endereço IP de 192.168.1.113) envia uma série de pacotes TCP com o bit de controle ACK para o sistema alvo (192.168.1.107). A meta de respostas do sistema com um RST pedido, porque o ACK foi inesperado e não uma parte de qualquer fluxo de comunicação estabelecidos. Se o sistema de destino retorna um RST para o sistema de ataque, Nmap relatórios a porta como não filtrada, como visto na Figura 10.13. Se o Nmap recebe uma resposta ICMP ou nenhuma resposta em tudo, o Nmap irá marcar a porta como filtrada. Scans ACK são úteis na determinação do diferença entre stateful firewalls e apátridas. Figura 10.13 mostra o que acontece quando não há firewall ou o firewall é apátridas -todas as portas são identificados como não filtrada, porque um RST é devolvido. Se nós dê uma olhada na Figura 10.14, vemos que 1689 portas estão marcadas como filtrada, enquanto que 8 portas estão marcadas como não filtrada. Quando há uma mistura de filtrada e não filtrada pedidos, como visto na Figura 10.14, sabemos que um firewall stateful está examinando

FIGURA 10,11 Null Scan Usando o Nmap


FIGURA 10,12 Wireshark captura durante Nmap Scan ACK

pacotes que entram na rede (ou sistema) e os pacotes que estão caindo proibidas. Se o nosso sistema de destino na Figura 10,14 não foi atrás de um firewall stateful, verifique nossos teria encontrado 1697 portas não filtrada. Com base nessas informações, é preciso para ajustar o nosso ataque para incluir técnicas de firewall adicionais contra a evasão 192.168.1.100, mas não contra 192.168.1.107.

FIGURA 10,13 Nmap Scan ACK

Port Scanning 271

FIGURA 10,14 Nmap Scan ACK Targeting um Sistema de Firewall

FIN (-sF) e Xmas Tree (-sX) Scans Na Figura 10.15, podemos ver os resultados da Árvore Xmas scan ea varredura FIN contra-alvo 192.168.1.100. O que interessa é duas portas foram identificados como fechado. Isso indica que uma RST foi devolvido durante os exames para as portas 20 e 443. Porque já sabemos que o alvo 192.168.1.100 está usando um stateful firewall, deve haver algum erro de configuração que permite a livre comunição com pelo menos essas duas portas.

FIGURA 10,15 Nmap FIN e Resultados Xmas Tree Scan contra Target Firewalled


Se o firewall foi configurado corretamente para filtrar todos os pacotes que não fazem parte da uma conexão estabelecida, as portas 20 e 443 também seria identificado como abrir / filtrada. Em um teste de penetração profissional, provavelmente quer solicitar a configuração de firewall para ver se essa omissão foi intencional ou não. Se não podemos obter a configuração, nós precisaríamos de continuar explorando todas as portas identificadas em 192.168.1.100 para ver se há erros de configuração de qualquer outro, ou para melhor entender o que exatamente o firewall é a filtragem. Os quatro varreduras discutidas nesta seção são úteis na identificação de serviços em sistemas de destino por trás de um firewall. Métodos adicionais de evitar perímetro sistemas de defesa para detectar serviços e sistemas em uma rede envolvem a manipulação outros campos dentro do pacote TCP. Nmap fornece algumas funcionalidades que modifica campos TCP (como -Badsum); No entanto, a melhor ferramenta a ser usada é scapy, que foi projetado especificamente para modificar os pacotes enviados através de uma rede.

SISTEMA DE IDENTIFICAÇÃO Agora que sabemos o que portas estão abertas em nosso sistema alvo, podemos tentar identificar o sistema operacional do nosso alvo. Explora mais aplicativos são escritos para um sistema operacional específico (Mesmo pacote de idioma em alguns casos), assim que descobrir o sistema operacional é essencial se quisermos identificar possíveis vulnerabilidades em nosso alvo.

Active OS Fingerprinting Nmap pode fazer a varredura de um sistema e identificar o sistema operacional baseado em vários achados. Em Figura 10.16, vemos o resultado de uma varredura OS contra o alvo 192.168.1.100. Nmap identificou o sistema operacional como o Linux 2.6 e nos dá uma gama de versões para trabalhar. Outra ferramenta que podemos usar é xprobe2, que executa tarefas similares como o Nmap. Em Figura 10.17, podemos ver uma parte dos resultados de varredura usando xprobe2 quando administrado o comando: xprobe2 -P tcp: 80: open 192.168.1.100. Os resultados são confirmados como antes -parece que o alvo está usando uma versão do Linux 2.6. Um método adicional de identificação de um sistema operacional hospedeiro é olhar para as aplicações em execução no host em si. Vamos ver um exemplo de um aplicativo que fornece OS OS Fingerprinting passivo informações mais tarde neste capítulo. OS identificar um sistema de destino passivamente requer muita paciência. O objetivo atrás de detecção passiva de SO é capturar pacotes TCP stealthfully, que conter o tamanho da janela e Time to Live (TTL), informação e, em seguida, analisar a pacotes para adivinhar o OS manualmente. O problema é ataques passivos em uma rede são às vezes difícil -a menos que o sistema de destino tem de se comunicar com o ataque do sistema diretamente (que empurra o ataque fora da definição de "Passivo") ou o sistema de ataque é capaz de coletar todos os pacotes que viajam através da rede, não há nenhuma maneira fácil de obter os dados necessários.

Identificação do sistema 273

FIGURA 10,16 OS Nmap Scan

FIGURA 10,17 Resultados de xprobe2 Scan


Você Owned? Ataques passivos Ataques passivos durante um projeto de testes de penetração são uma ótima maneira de passar despercebida por de rede e administradores de sistema. Infelizmente, também é amplamente utilizado pelos maliciosos atacantes também. Para se defender contra ataques passivos, certifique-se que a rede é um "Switch" rede, os pacotes estão garantindo corretamente direcionados para o sistema correto -não são enviadas para todos os sistemas na rede.

Se tivermos sorte o suficiente para obter acesso a pacotes TCP (por ter acesso a um router ou outro sistema), veríamos os resultados encontrados na Figura 10,18 usando o aplicação p0f. Outra técnica que podemos usar é Address Resolution Protocol (ARP) envenenamento para forçar o sistema de destino para conversar conosco. Repetindo o cenário acima, vamos utilizar uma ferramenta adicional -arpspoof. Na Figura 10.19, fazemos arpspoof anunciar a nossa meta (192.168.1.100) que o nosso sistema de ataque é a rede gateway (192.168.1.1). Gostaríamos de deixar correr até arpspoof p0f confirmou a OS, em

FIGURA 10,18 p0f Scan

FIGURA 10,19 ARP Poisoning Attack

Serviços de Identificação 275

FIGURA 10,20 ARP Cache do Sistema Target

Figura 10.19, vemos o que acontece quando arpspoof é encerrado -a tabela ARP o sistema de destino é dado o correto endereço Media Access Control (MAC) da gateway (como visto na Figura 10.5), limpar o cache do alvo ARP. Para verificar se o envenenamento ARP realmente funciona, podemos olhar para o alvo cache do sistema ARP, como visto na Figura 10.20. Vemos que o nosso sistema de destino acredita que o sistema de ataque eo gateway tem o mesmo endereço MAC. O resultado é que a qualquer momento o nosso objectivo quer enviar dados através do gateway padrão, ele irá ao invés enviar dados para o nosso sistema de ataque e, em seguida, o sistema de ataque vai enviá-lo para o sistema de gateway correto agindo como um homem de meia-para evitar a detecção. Dado tempo suficiente, iremos reunir pacotes suficientes de que chegaremos similar resultados como os encontrados na Figura 10.18. Até então, nós, infelizmente, são a criação de um ataque de negação de serviço contra o sistema de destino. Se não estabelecermos um túnel de comunicação com o gateway real, efetivamente criando um Man-in-theMiddle (MITM), aumentamos nossas chances de descoberta. AVISO Dependendo da criticidade do sistema de destino, ARP envenenamento de cache pode ser inaceitável. Envenenamento ARP é um método agressivo de interceptar dados e pode facilmente causar negação de serviços. Se o objetivo é simplesmente identificar o sistema operacional, o envenenamento ARP pode ser muito agressivo a menos que você usá-lo como um cenário de man-in-middle.

SERVIÇOS DE IDENTIFICAÇÃO Agora que sabemos o sistema operacional, podemos começar a olhar para os serviços em execução no alvo sistemas. Existem algumas maneiras de identificar aplicações -banners e pacote


análise. O primeiro método envolve a conexão com um serviço desconhecido em uma porta e esperando que o aplicativo em que a porta nos fornece informações sobre o próprio serviço. Não é incomum para os desenvolvedores de software para incluir detalhada informações sobre o aplicativo, incluindo informações sobre a versão. O segundo método de identificação de aplicações é capturar o tráfego de rede que emana do porto e análise dos dados. Isto é um pouco mais complicado e envolve ser capaz de ler a pilha TCP / IP (ou qualquer outro protocolo é usado pelo aplicação). Uma vez que legenda os dados, vamos tentar e combinar os dados conhecidos serviços.

Banner Agarrando Na Figura 10.21, lançamos Nmap usando o sV-bandeira, que tenta agarrá-banner informações de cada aplicação. Se compararmos os resultados na Figura 10,21 com os na figura 10.11, podemos ver que a verificação anterior incorretamente identificado porta 445 e porta 10000. No início tínhamos mencionado que as bandeiras podem identificar uma OS, e Figura 10.21 confirma este achado. Na Figura 10.21, a verificação Nmap indica que nossa meta sistema está rodando Ubuntu, a versão 6 (de acordo com a faixa encontrada na porta 80).

AVISO Uma palavra de cautela -dados fornecidos pelos aplicativos podem estar incorretas. Quando software software upgrade desenvolvedores, eles nem sempre atualizar as informações banner também.

Vamos dar uma olhada no serviço de Secure Shell (SSH) usando Telnet. Na Figura 10.22, usamos Telnet para se conectar com a porta 22. Como podemos ver, a aplicação em execução no o sistema de destino informa-nos que temos conectado a uma aplicação SSH, compilado para o sistema operacional Debian.

FIGURA 10,21 Versão Nmap Scan

Serviços de Identificação 277

FIGURA 10,22 Telnet Banner Agarrando Usando

Enumerando Serviços Desconhecido Porque nós temos algumas dúvidas quanto ao que serviço está sendo executado nas portas 10000 e 445 no servidor pWnOS, podemos tentar identificar o serviço, ligando para o portas manualmente e ver que tipo de informação é retornada. Na Figura 10.23, ligamos para o destino usando o netcat. Depois que ligar, podemos enviar dados aleatórios (Neste caso, enviamos "Asdf" e pressione o Retorno chave). O serviço retorna dados que se parece com uma Hypertext Markup Language (HTML), o que implica uma Hypertext Transfer Protocol (HTTP) é executado na porta 10000. Este foi um exemplo fácil, então vamos tentar algo mais difícil. Se tentarmos o mesmo coisa contra a porta 445, parece que recebemos nenhuma resposta de volta do serviço, como visto na Figura 10.24 (todos os dados visto na Figura 10.24 é dados aleatórios entraram em um tentativa de solicitar uma resposta).

FIGURA 10,23 Conectar-se alvo do sistema em Port 10000 Usando Netcat

FIGURA 10,24 Conectando-se a Target System na porta 445 Usando Netcat


FIGURA 10,25 Capture pacotes de conexão Netcat para sistema de destino na porta 445

FIGURA 10,26 Conectar-se destino usando smbclient

Se capturar os pacotes da Figura 10,24 usando o Wireshark, ficamos com informações adicionais pouco. Na Figura 10.25, podemos ver que os dados retornados de porta 445 foi duas NOP (No Operation Performed) instruções. Neste ponto, nós ainda não sabemos o que realmente está sendo executado na porta. Porque Figura 10.21 sugere que o servidor está executando Samba naquela porta, podemos usar o smbclient para solicitar uma conexão com o sistema de destino. Se Samba está sendo executado nessa porta, devemos ter uma resposta diferente. Na Figura 10.26, que ver os resultados da solicitação de conexão usando smbclient. Recebemos uma solicitação de senha do sistema de destino, se entramos aleatória dados para a palavra-passe, nós recebemos uma mensagem de falha. Com um pouco de pesquisa sobre o Internet, o NT_STATUS_LOGON_FAILURE é uma resposta válida pelo Samba para um senha incorreta ou nome de usuário inválido. Neste ponto, é altamente provável que um Server Message Block serviço (SMB) está sendo executado na porta de destino.

VULNERABILIDADE DE IDENTIFICAÇÃO Agora que temos identificadas e verificadas quais aplicativos estão em execução no nosso sistemas de destino, vamos pesquisar na Internet para ver se algum deles têm vulnerabilidades. Vamos usar o servidor pWnOS como um exemplo e utilizar os resultados na porta 10000 para identificar qualquer vulnerabilidade em potencial que possam existir. No capítulo seguinte, iremos

Identificação da vulnerabilidade 279

tentar explorar todas as conclusões que descobrir aqui, mas por agora, estamos simplesmente a tentar identificar as vulnerabilidades. Na Figura 10.21, a nossa Nmap scan indicou que o aplicativo Webmin foi executado na porta 10000. Figura 10,23 confirmou que um serviço HTTP estava funcionando. Se utilizar um browser Web para se conectar ao servidor na porta 10000, somos apresentados a um prompt de login, FIGURA 10,27

como pode ser visto na Figura 10.27. Infelizmente, não temos sidoCapture tela do Webmin Página Inicial na porta 10000capaz de identificar qualquer versão informação, seja no banner ou na Web página. Seríamos capazes de reduzir os nossos resultados se tivéssemos a informação de versão; mas porque não o fizermos, vamos ter de identificar todos os potenciais vulnerabilidades associados Webmin. O Departamento de Defesa é uma organização que mantém uma lista de vulnerabilidades conhecidas dentro de diversas aplicações. Consultas ao banco de dados pode ser realizado em http://nvd.nist.gov/. Figura 10.28 listas de um trecho de vulnerabilidades dentro Webmin. O banco de dados contém 32 entradas para Webmin, e Figura 10,29 provides informações sobre CVE-2007-5066 (com uma gravidade de HIGH, como visto na Figura 10.28). De acordo com o banco de dados, a vulnerabilidade pode ser explorada

FIGURA 10,28 National Vulnerability Database Search Results for Webmin


FIGURA 10,29 Vulnerabilidade em alta Webmin

remotamente através da rede e pode impactar negativamente a disponibilidade, confidencialidade, e integridade. Embora não sabemos se a versão do Webmin no sistema de destino é explorável usando a vulnerabilidade identificada na Figura 10.29, devemos acrescentar estes resultados para todas as outras informações que reunimos até agora sobre esta meta. Se fôssemos simplesmente a realização de uma avaliação de risco sem a realização de um teste de penetração, isto é onde nós provavelmente parar (depois realizamos o mesmo tipo de investigação contra todos os serviços disponíveis). Identificar potenciais vulnerabilidades nos permitam entender melhor os riscos associados com a sistema de destino, apesar de não confirmar a vulnerabilidades. Trabalho adicional ainda seria necessário para concluir a auditoria, incluindo a análise de qualquer externa controles em torno do sistema de destino, projeto de arquitetura, sistema interno controles e dados de classificação. No entanto, no próximo capítulo, vamos passar em verificação de vulnerabilidade e ver se podemos explorar qualquer uma das aplicações que descobertos até agora.


RESUMO Neste capítulo, começamos a examinar os nossos sistemas de meta mais próxima do que fizemos no capítulo anterior -Coleta de informações. Nós identificado pela primeira vez metas de viver dentro da rede, usando sondas ativas e passivas de rede sniffing. Os ativos sondas são facilmente detectadas em uma rede que tem dispositivos de detecção de intrusão, se stealth é necessária, a velocidade do ataque pode ter de ser mais lento para evitar detecção. Métodos passivos de varredura para sistemas requerem acesso à rede segmento, no qual o sistema de destino reside. Nem sempre é necessário ter o sistema de atacar diretamente na rede -rede passiva sniffing é muitas vezes conduzida a partir de um servidor comprometido dentro da rede de destino, quando o atacante está tentando compreender a rede interna e que sistemas existem. Identificação passiva de sistemas reduz a chance de ser descoberto, porque nenhum tráfego de rede adicional é gerada por um sistema comprometido. Para entender quais serviços estão rodando em um sistema alvo, as sondas necessidade de ser enviada. Neste capítulo, identificamos serviços utilizando a faixa de agarrar e por conectando-se diretamente para os portos, para que pudéssemos ver como eles respondem a aleatória de dados. Nos casos em que não podemos determinar qual aplicação está executando, precisamos tente ferramentas diferentes para solicitar uma resposta, como smbclient. BackTrack inclui diversas ferramentas usadas para se comunicar diretamente com várias aplicações, incluindo aqueles em ambos os sistemas Linux e Microsoft Windows. Um terceiro componente necessário para identificar potenciais vulnerabilidades dentro de um alvo sistema é o OS. Estes dados podem ser coletados durante a varredura de porta, ou pode ser reunidos passivamente também. Depois nós detectamos um sistema, identificou o OS, e verificadas quais serviços estão disponíveis, podemos encontrar possíveis vulnerabilidades. Há inúmeros bancos de dados vulnerabilidade disponíveis na Internet, que fornecem detalhada informações sobre a vulnerabilidade em si, bem como a empresa e os aplicação. Podemos usar essa informação para ajudar os clientes a compreender melhor os riscos dentro de sua rede. O próximo capítulo -Verificação de vulnerabilidade -irá utilizar a informação reunidos nesta fase do teste de penetração para conduzir ataques contra o real sistemas de destino.

As soluções da FAST TRACK Port Scanning ■

Informação fornecida por scanners de portas pode estar incorreta -sempre utilizar dois diferentes ferramentas para escanear as portas.

■

Entender o que as ferramentas estão fazendo durante uma varredura. As informações recolhidas durante uma verificação pode indicar a presença de sistemas de rede de defesa.


■

Passiva técnicas de exploração pode ser usado para esconder a atividade dentro de uma rede. A velocidade de um scan também pode ser um fator na detecção; retardando uma varredura para baixo pode deixar de ser notado por IDSs, especialmente na condução scans numerosos dentro de uma rede.

Identificação do sistema ■ ■

Explora muitas vezes são projetados para sistemas operacionais e aplicações específicas. Serviços pode fornecer informações OS e versões de aplicação em suas banners.

Serviços de Identificação ■

■

Informações sobre a versão ajudará a diminuir a lista de potenciais vulnerabidades, no entanto, informações sobre a versão não é sempre atualizada quando novos patches são liberados. Nem todos os aplicativos fornecem informações sobre si próprio. Ferramentas adicionais podem ser necessárias para identificar quais aplicações estão rodando em um sistema de destino.

Identificação da vulnerabilidade ■

■

Bases de dados vulnerabilidade pode ser usado para consultar a vulnerabilidades conhecidas associados com as aplicações do sistema. A classificação de risco existe para cada vulnerabilidade publicado e pode ser usado para priorizar ataques dentro de um teste de penetração.


Quão lento devo conduzir minha varredura para evitar IDSes?

A:

Tudo depende dos administradores de rede que definir as regras sobre o IDS. Grandes redes corporativas são verificados com freqüência por usuários malintencionados, especialmente aquelas redes que são voltado para a Internet (como um DMZ). Em casos onde os sistemas estão expostos à Internet, scans raramente precisam ser retardado para baixo, porque muitas vezes ignoram IDSes scans inteiramente devido ao volume. Scans dentro das redes internas são uma questão diferente. Administradores de rede podem configurar IDSes olhar especificamente para ataques a digitalização, o que exigirá um ataque muito mais lento. A velocidade real em que para realizar o ataque é simplesmente um palpite, mas pode ser retardado para cobrir dias, se necessário. Por que não é o número OS muito específico em algum dos scans?

Q: A:

Os exames que usamos examinar a pilha TCP. Quando um kernel do sistema operacional está atualizado, o O protocolo TCP pode ou não ser modificado. É possível que nenhuma alteração é


feito para a pilha de rede por muitos anos, o que torna mais difícil saber exatamente qual a versão do sistema operacional que estamos olhando. Q:

Se um serviço não fornece qualquer informação banner e não responde a todas as ferramentas (como o exemplo com smbclient), que pode ser feito para determinar o serviço está sendo executado?

A:

Há alguns "Difusão" programas (discutido no próximo capítulo) que pode ser usado para consulta uma porta de comunicação. Estes programas podem ser capaz de obter o aplicativo para responder e dar algumas dicas sobre o que o pedido é para. Outra técnica é interceptar e analisar todos os comunicação que essa porta, capturando todos os pacotes destinados para o sistema de destino.

Expandir suas habilidades Quer saber sobre a identificação da vulnerabilidade? Os exercícios a seguir são destina-se a fornecê-lo com conhecimento e habilidades adicionais, assim você pode entender melhor este tema. Use o seu laboratório para realizar os exercícios seguintes.

EXERCÍCIO 10,1 A realização de varreduras Nmap 1.

Usando o LiveCD Hackerdemia como um alvo, conduzir os exames seguintes: TCP conectar-scan, scan UDP, Ping scan, RPC scan, stealth SYN scan. Descrever o diferenças nos resultados da verificação.

2.

Usando o De-ICE 1,100 LiveCD como um alvo, realizar os exames seguintes: TCP conectar-scan, scan Null, FIN scan, scan Window, scan e Xmas Tree. Descrever as diferenças nos resultados da verificação.

3.

Scanme.nmap.com usando como alvo, conduzir os exames seguintes: TCP Digitalização de conexão, UDP scan, scan protocolo IP, e digitalização List. Descrever o diferenças nos resultados da verificação.

EXERCÍCIO 10,2 Identificar Sistema de Informação 1. 2.

Usando o LiveCD Hackerdemia como um alvo, determinar o sistema operacional usando o Nmap. Scanme.nmap.com usando como alvo, determinar a OS usando Nmap.


EXERCÍCIO 10,3 Identificar as vulnerabilidades 1.

Visite o National Vulnerability Database em: http://nvd.nist.gov/. Procurar Vulnerabilidades Webmin.

2.

Visite o site vulnerabilidade US-CERT em www.kb.cert.org/vuls/. Procurar Vulnerabilidades Webmin.

3.

Visite o banco de dados de vulnerabilidade SecurityFocus no www.securityfocus.com/ vulnerabilidades. Busca de vulnerabilidades Webmin.

4.

Visite o banco de dados Open Source Vulnerability em http://osvdb.org/. Procurar Vulnerabilidades Webmin.

5.

Identificar eventuais diferenças entre os achados dentro destes quatro bancos de dados. Qual banco de dados parece ser mais preciso?

6.

Quantas vulnerabilidades HIGH existem dentro do aplicativo Webmin? Lista o número de vulnerabilidades (que começa com um VU # ou CVE).

EXERCÍCIO 10,4 Compreender o esquema de identificação de vulnerabilidade 1.

Visite http://cve.mitre.org/. Definir a sigla "CVE".

2.

Visite http://cve.mitre.org/compatible/process.html. Quais são as fases no âmbito do Processo de compatibilidade CVE? Que informações são fornecidas a respeito de uma empresa e seu produto que está listado no banco de dados CVE?

3.

Qual é o processo para adicionar uma vulnerabilidade para o CVE?


CAPÍTULO

Verificação de vulnerabilidade

11

SOLUÇÕES NESTE CAPÍTULO Exploit Códigos -Encontrar e Running ............................................... ............. Exploit Códigos -Criando seu próprio ............................................... ................ Hacking Web ................................................ ......................................... Project Management ................................................ ................................

287 320 325 332

INTRODUÇÃO Ломать -не строить. -Provérbio russo: "É é mais fácil para puxar para baixo do que construir. " (Mertvago, 1995)

No capítulo 10 que fizemos as coisas da maneira mais difícil -Corremos tudo manualmente, e fez Internet consultas para encontrar possíveis vulnerabilidades. Esse conhecimento vai nos ajudar entender melhor o próximo passo -verificação de vulnerabilidade. Um dos maiores problemas em compreender o estado da segurança dentro de um sistema ou uma rede é descobrir quais vulnerabilidades são reais e quais são falsos positivos. Este etapa remove qualquer dúvida. Então, como é que esta seção se encaixam as metodologias predominantes? Como mencionado anteriormente, parte 2 deste livro está estreitamente alinhado com o Sistema de Informação de Segurança Quadro de Avaliação de metodologia (ISSAF). Isto é principalmente porque a procedimentos necessários para realizar um teste de penetração são divididos em granular etapas do ISSAF. Isso não significa que o ISSAF é a melhor metodologia -simplesmente que é mais fácil mostrar o teste de penetração profissional, utilizando a metodologia ISSAF. Este capítulo particular -se tivéssemos que ficar com a terminologia ISSAF -seria ser intitulado "Penetração". Infelizmente, isso é muito constritiva de significado para o que realmente ocorre nesta fase de um pentest, razão pela qual eu escolhi "Vulnerabilidade Verificação "em vez. Existem quatro passos dentro do ISSAF nesta fase: ■ ■

Encontrar provas de conceito / code ferramenta Prova de teste de conceito / code ferramenta


285

286 CAPÍTULO 11 Verificação de vulnerabilidade

■ ■

Escreva a sua própria prova de conceito / code ferramenta Use prova de conceito / code ferramenta contra-alvo

Manter estes quatro passos em mente ao ler o capítulo -vamos concluir cada etapa, mas não será chamar a atenção para eles. É importante para expandir um pouco sobre o "Teste prova de conceito etapa / code ferramenta " este refere-se a testar o exploit contra um servidor de teste primeiro, antes de ser usado contra o pentest alvo. Mesmo se obtivermos o nosso código de exploração de uma fonte confiável, nós realmente não pode saber o que vai acontecer quando lançamos a explorar. Porque dois sistemas raramente são idênticos, uma façanha pode ter resultados diferentes, incluindo falhando o alvo e perder todos os dados e funcionalidade. Referindo-se à Fonte Manual de Segurança Open Metodologia de Testes (OSSTMM), versão 3, que foram transferidos para a seção de Comunicação de Segurança (COMSEC) intitulado "Controles Verificação, "em que enumerar e verificar o funcionamento funcionalidade de medidas de segurança de ambos os sistemas e os aplicativos do sistemas. Há quatro áreas de controle diferentes em que precisamos concentrar nossos atenção:

■

Não-repúdio

■

Confidencialidade

■

Privacidade

■

Integridade

Quando o teste de não-repúdio, queremos concentrar em questões como a métodos de identificação e autenticação, gerenciamento de sessão, e registro de atividades. Confidencialidade verificação de dados envolve os canais de comunicação, criptografia e ofuscação de dados no sistema, além disso, confidencialidade também se estende entre o servidor e qualquer cliente se conectar. Exposição de privacidade dados podem danificar gravemente uma empresa e sua credibilidade. Quando o teste para a privacidade controles, mais uma vez necessidade de prestar especial atenção aos canais de comunicação e o uso da privada (de propriedade) protocolos. Em última análise, estamos à procura de pessoal informações vazadas do sistema, ou em trânsito. Verificações de integridade em um sistema incluem manipulação de banco de dados e modificação do arquivo. Naturalmente, se os dados são corrompido, as empresas e seus clientes podem ser afetados negativamente. Em todo Neste capítulo, vamos identificar a área de controle afetados por cada exploit que realizamos, de acordo com o OSSTMM. De acordo com o Project Management Body of Knowledge (PMBOK), estamos Ainda no grupo de processos de execução -especificamente dentro do "Direct e gerenciar Projecto de Execução do processo ". Como um lembrete dos capítulos anteriores, os resultados da Nesta fase irá ajudar a refinar as saídas dos processos de garantia de qualidade, projeto de processos da equipe (tanto a aquisição e desenvolvimento de processos), e certamente afetam a "Request vendedor respostas atividade ", como definido pelo PMBOK.

Exploit Códigos -Encontrar e executando 287

Uma área de especial atenção durante a fase de Verificação de vulnerabilidade da teste de penetração é o processo de distribuição da informação, que discutiremos mais tarde neste capítulo. Porque o grupo de Monitoramento e Controle de Processo supervisiona esta fase do teste de penetração (assim como todas as outras fases), há algumas questões importantes que necessidade de realmente se concentrar na -especificamente o Programa de Controle e Gerenciar as partes interessadas processos. Manutenção do cronograma nesta fase pode ser difícil. A etapa anterior de identificação de vulnerabilidade pode fornecer o gerente de projeto algum avanço conhecimento da duração do trabalho necessário para verificar cada tipo de vulnerabilidade, se está relacionada à aplicação de rede, / banco de dados ou projeto do sistema. No entanto, mais compromissos não forem atingidos a partir de exploits disponíveis -eles são alcançado através da exploração de falhas de configuração de ativos, o que leva mais tempo para encontrar e manipular do que as conhecidas vulnerabilidades com exploits publicados. É fundamental para um gerente de projeto para alocar mais tempo além do que está implícito de identificação da vulnerabilidade para acomodar essa discrepância. Stakeholders gestão nesta fase do projeto de teste de penetração muito implica lotes e lotes de comunicação. Haverá eventos em que é um exploit descobri que é tão grave que os interessados precisam estar cientes da imediatamente. Identificação das partes interessadas correta para entrar em contato e oportunidade durante tal descoberta é fundamental para a operação contínua do pentest projeto. Além disso, esperam que os interessados entrar em contato com o ponto de projeto de contatos durante quedas ou complicações resultantes de esforços de teste de penetração. Reacção rápida para incidentes é fundamental nesta fase, não fazê-lo pode afetar os lucros, a confiança pública, e os objetivos de negócio. Nos casos de atividade criminosa, as suas Comunicações ManagePlano mento deve incluir a aplicação da lei, tanto a nível local e federal níveis.

EXPLORAR CÓDIGOS -ENCONTRAR E RUNNING

Até este ponto, tudo o que fizemos é realizada por auditores condução de risco avaliações. Como um verificador da penetração profissional, damos um passo além desse ponto e verificar nossas descobertas por realmente atacar os nossos objectivos. Identificação de vulnerabilidades de ajuda administradores de sistema melhorar a segurança do seu sistema através da compreensão da ambiente de risco atual em segurança da informação -verificação de vulnerabilidades mostra o quão ruim as coisas podem ficar se existem exploits disponíveis.

Sites Internet Embora tenhamos feito as coisas da maneira mais difícil até agora, nós realmente não quer sair o processo manual ainda. Muito em breve, vamos começar a usar alguns dos mais avançadas ferramentas automatizadas que podem caçar em busca de vulnerabilidades e explorálos. Mas como mencionado no capítulo anterior, é sempre o melhor para realizar todos os passos dentro um teste de penetração manualmente. Dessa forma temos uma idéia do que as ferramentas realmente


fazer e quais as limitações podem existir dentro das ferramentas. Vamos explorar de forma semelhante verificação ferramentas de vulnerabilidade. No capítulo 10, identificamos portas disponíveis no servidor de destino pWnOS. Se você recall, identificamos que houve alguma atividade na porta 10000 ea aplicação em execução em que a porta foi Webmin. Também procurei na Internet e descobriu que houve múltiplas vulnerabilidades associadas Webmin, no entanto, fomos incapazes de identificar a versão do aplicativo e não sei se ele é vulnerável ou não. Porque realmente atacar um servidor está fora do escopo para os auditores, eles serão muitas vezes tentar identificar a versão do aplicativo, acessando o sistema em si, ou solicitando as informações do administrador do sistema. Do auditor da ponto de vista, há uma necessidade de ter cuidado e não fazer nada que possa risco integridade e funcionamento do servidor de destino. Para nós, não teremos essa reserva e vai atacar a aplicação e servidor diretamente. Pedindo o administrador do sistema é uma opção viável para descobrir mais informações sobre o alvo. Mas se nós estamos tentando realizar um teste de penetração sem alertar o administrador do sistema, comunicando o nosso interesse na Aplicação Webmin pode alertar o administrador, que pode reforçar o defesas do sistema. . . que não é divertido para nós. Nosso primeiro passo é tentar encontrar um exploit para Webmin na Internet. Há abundância de sites que têm explorações, mas sim um repositório principal para ambos remoto e exploits internos podem ser encontradas em www.milw0rm.org. Figura 11.1 mostra os resultados de uma busca de exploits Webmin. Então, que explora devemos tentar? Todos eles! Para resumir, nós só trabalho através de um exploit aqui -Divulgação do Webmin arquivo arbitrário Exploit para Webmin versões menos de 1,290. Se baixar a versão Perl (datado de 2006/07/15) em nosso sistema BackTrack e executá-lo, somos apresentados com as informações encontradas na Figura 11.2. Como você pode ver, fomos capazes de pegar o arquivo contendo sombra as senhas criptografadas dos usuários do sistema.

AVISO Engenheiros: É uma coisa perigosa para executar programas fornecidos por terceiros, especialmente em testes de penetração. Certifique-se de rever e compreender todas as partes de qualquer exploits você download antes de usá-los. Considerando que os hackers fizeram, não é muito de um esticar a assumir alguns deles podem fazer mais mal do que eles sugerem, inclusive destruindo dados do sistema de destino completamente. Paranóia é bom.

Isso é realmente tudo o que há para verificação de vulnerabilidades. Vamos recapitular os passos que nos levou a este ponto: 1. Identificar as aplicações em execução nas portas. 2. Encontrar informações sobre a versão (se possível). 3. Procure exploits na Internet. 4. Executar as façanhas contra a aplicação de destino.


Figura 11.1 Resultados da pesquisa para milw0rm.org Webmin

Figura 11.2 Webmin Exploit


É realmente muito simples. Onde as pessoas encontram dificuldade é quando há não explora conhecido por uma vulnerabilidade identificada, ou quando o código de exploração não funciona porque está escrito de uma maneira que não funciona contra seu sistema de destino. Se não há exploits conhecidos, não há muito que possamos fazer. Como um verificador da penetração profissional, que geralmente não têm tempo suficiente no projeto para fazer a pesquisa necessária para elaborar os nossos próprios exploits, então nós simplesmente observar a vulnerabilidade, identificar o nosso trabalho, e seguir em frente. No entanto, em Neste caso, temos um exploit de trabalho, para que pudéssemos continuar a puxar todos os arquivos podemos pensar a partir do servidor, incluindo scripts de inicialização em / etc / rc.d do usuário, arquivos do diretório (especialmente arquivos históricos), os arquivos de log, e assim por diante. Poderíamos até mesmo criar um script que "Fuzz" diferentes nomes de arquivos em diferentes diretórios, essencialmente, a realização de um ataque de força bruta usando comumente usados nomes de arquivos (como "Folha de pagamento," finanças "," e "Configuração"). Discutimos fuzzing mais tarde. A exploram Webmin impactos algumas áreas de controle diferentes dentro do OSSTMM -especificamente de Privacidade e Confidencialidade. A fraqueza em Privacidade Controles é que agora sabemos o que os usuários existentes no sistema. Além disso, se este servidor mantido quaisquer dados de recursos financeiros ou humanos, a exploração Webmin permitiria que um usuário malicioso para obter todos os registros pessoais. Sob U. S. Federal Regulamentos, como a Lei Sarbanes-Oxley (SOX) eo Seguro de Saúde Portabilidade e Accountability Act (HIPAA), esta exposição de dados pessoais estaria em clara violação dessas leis e devem ser dirigidas para a cumprimento.

Ferramentas automatizadas

Muitas ferramentas disponíveis na Internet podem nos ajudar a encontrar e explorar sistemas vulneráveis. Nosso financiamento do projecto terá um impacto sobre quais as ferramentas que pode obter. Alguns pentest ferramentas são produtos comerciais e têm um preço associados à sua utilização. No entanto, em testes de penetração grandes envolvendo centenas ou milhares de sistemas, o preço torna-se um nonissue -high-end ferramentas comerciais são essenciais para poupar tempo e esforço. Falaremos sobre alguns deles aqui, mas eu quero para que você aponte para um site que lista os "Top 100 Rede Ferramentas de segurança "que são disponíveis para pentest engenheiros: www.sectools.org.

TIP Gerentes de projeto: Gerentes de projeto precisa empurrar o uso de ferramentas automatizadas, especialmente aquelas ferramentas que têm a capacidade de cronograma de atividades. Rede e sistema ambientes são diferentes ao longo do dia e da semana, e os engenheiros terão de conduta scans e ataques durante fora de horas. Ferramentas com a capacidade de agendar scans e ataques podem melhorar positivamente os custos do projeto e cronogramas.


O top 10 scanners de vulnerabilidade, de acordo com os resultados da pesquisa listados no sectools.org, são as seguintes: 1. Nessus (produto comercial, principalmente) 2. GFI LANguard (comercial) 3. Retina (comercial) 4. Impacto Core (comercial) 5. ISS Internet Scanner (comercial) 6. X-Scan 7. Sara 8. QualysGuard 9. SAINT (comercial) 10. MBSA

A lista de ferramentas de exploração de vulnerabilidades contém apenas três itens, um dos que é uma repetição da lista anterior: 1. Metasploit Framework 2. Impacto Core (comercial) 3. Canvas (comercial) Aqueles apenas começando em testes de penetração profissional pode inicialmente tímido longe de gastar dinheiro em um produto comercial, quando existem outras ferramentas que são de código aberto e livre para usar. Mas scanners de vulnerabilidade comerciais são provavelmente o melhor retorno de qualquer investimento em projetos de testes de penetração. Custo não deve ser um fator quando tentando decidir o que é a melhor ferramenta para o trabalho. Você deixaria um mecânico que usou uma chave como um trabalho de martelo em seu carro? Então, por que contratar um verificador da penetração profissional que usa a ferramenta errada para o trabalho, simplesmente por causa do custo? Estas ferramentas pagam por si, não em termos de tempo desperdiçados, e são um investimento valioso.

Tools & Armadilhas ... Livre não é sempre melhor. . . mas não é mau Não suponha que o dinheiro é o caminho para alcançar melhores resultados em um teste de penetração. O eficácia de qualquer ferramenta -comerciais ou open source -não é determinado pelo preço, mas pela habilidade do testador penetração. Certifique-se de tentar todas as ferramentas disponíveis e descobrir que trabalham melhor para você, sua equipe, eo ambiente do projeto.

Ok, agora que eu fiz esse ponto, deixe-me voltar um pouco e falar sobre a força e fraquezas. Cada um dos produtos listados faz coisas muito diferentes. No face, pode não parecer, mas para competir neste mercado, tiveram de se especializar um pouco. Figura 11.3 é um screenshot do CORE IMPACT listando o número de exploits disponíveis, existem algumas façanhas ausentes desta aplicação, que estão disponíveis


Figura 11.3 Número de Módulos de Exploração Disponível em CORE IMPACT

noutros locais, incluindo www.milw0rm.org. As façanhas são selecionados para IMPACT escolhidos com base no maior ameaça para os clientes corporativos, mas pode ser adicionado a usar funcionalidade interna que as importações explorar scripts escritos em Python.

Avaliação de Vulnerabilidade A ferramenta que usaremos para a avaliação de vulnerabilidade é o Nessus popular scanner, capaz de identificar milhares de possíveis vulnerabilidades. Em alguns casos, ele pode até mesmo identificar as vulnerabilidades como positivos válido ou falso. Nessus é também extremamente flexível -podemos modificar ou criar plug-ins para satisfazer as nossas próprias pessoais necessidades. Nessus tem sido usada em auditorias para verificar o cumprimento muitos diferentes requisitos regulamentares. Nessus é livre para download, mas requer uma taxa de inscrição para obter o mais recente vulnerabilidade plug-ins. Compra da subscrição concede acesso a técnicas ajuda do pessoal de segurança de rede Tenable de suporte. Instalação Nessus Para começar, baixe o scanner a partir do site Security Network Tenable na Web para Nessus, que é www.nessus.org. Neste exemplo, iremos trabalhar com o programa como instalado no Windows Vista.

NOTA Engenheiros: Nessus precisa ser instalado com privilégios administrativos para maximizar o seu eficácia. Se você estiver instalando o Nessus no Windows Vista, você deve executar a instalação como administrador.


Figura 11.4 Nessus Seleção de Recursos

Após a tela inicial de boas-vindas, somos apresentados com as opções como visto na Figura 11.4, que nos dá a opção de instalar duas características -o servidor Nessus Nessus eo cliente. Se vamos realizar exames regularmente contra o patrimônio empresarial, provavelmente seria a instalação do software Nessus Server em um servidor centralizado. Se for esse o caso, nós só queremos para selecionar o Nessus Server opção, e desmarcar o recurso de instalação do cliente. O software servidor em si não consumir uma grande quantidade de poder de processamento e alocação de memória. O que consome o processador ea memória é o número de varreduras de ativos que estão em execução. A boa configuração para grandes organizações seria ter múltiplas Nessus Servidores executando em toda a rede -tanto interna como externamente. É Também não é incomum ter redes privadas em um ambiente corporativo como bem, o que exigirá servidores adicionais colocados dentro dessas redes. Hardware deve ser selecionado que tem ampla memória e ciclos de processamento, o que permite a verificação regular de sistemas para qualquer alteração na proteção de segurança níveis.


Uma vez que os servidores que realizam os exames atuais estão em vigor, pode-se instalar o clientes separadamente em apoio e administrador de sistemas. Esta configuração permite que os servidores a fazer todo o processamento e permite que os administradores de usar os clientes remotamente lançar os exames conforme a necessidade. Scans podem ser automatizadas, bem como, mas o método para fazer isso não é realmente essencial para este tópico. Muitos livros bem em aprofundar Nessus mais profundo em técnicas de automação, incluindo Auditoria Nessus Network, 2e, ISBN: 978-1-59749-208-9, Syngress. Porque não somos parte de uma grande corporação que varre milhares de sistemas de uma dia, podemos instalar o servidor eo cliente no mesmo sistema. Não há muito overhead para a aplicação, e não estamos fazendo um monte de digitalização, de modo que este é uma opção perfeita para nós. Quando a instalação estiver concluída, vamos ter a opção para registrar o programa, como visto na Figura 11.5. Para obter o último plug-ins, precisamos adquirir um código de registro do produto de sustentável. Podemos obter este código em Tenable do site, que solicitará para um endereço de e-mail para enviar o código. Para aqueles de vocês que estão preocupados com spam, eu tenho registrado com eles várias vezes e nunca recebi nada que poderia remotamente ser considerado spam -na verdade, eu nem me lembro de receber nada como um resultado deste processo. Depois de selecionar "Sim", somos apresentados a uma página de registro, como visto na Figura 11.6. Um link na página de registo permite-nos adquirir um produto código de ativação, se necessário. Se fizermos tudo certo, é-nos dada a confirmação de sucesso, como visto na Figura 11.7. Sustentável fornece documentação em www.nessus.org/ documentação para ajudar -nos com problemas de instalação. O scanner Nessus tem sido em torno de muitos anos, e há muitos fóruns disponíveis para trocar idéias e lidar com desafios que você pode encontrar. Uma vez que temos registrado, nos é dada a opção de atualizar o plug-ins como visto na Figura 11.8. Pode haver momentos em que não gostaria de obter as últimas

Figura 11.5 Registro de Produto Prompt


Figura 11.6 Página de registro

Figura 11.7 Registro de Notificação de Sucesso

plug-ins, porque este processo pode levar algum tempo para ser concluída, mas nós normalmente deseja selecionar "Sim". Podemos automatizar estes processos, conforme necessário depois que concluir a instalação. Como você pode ver na figura 11.9, temos muito poucos plug-ins para download. Este pode levar algum tempo -mas vamos ter a certeza de ter o mais recente em termos de conhecimento vulnerabilidades, uma vez que começar.


Figura 11.8 Plug-ins Opção Download

Figura 11.9 Download do último plug-ins Nessus

Antes de começarmos a nossa scans, que realmente deve verificar para se certificar de que o servidor está operando corretamente. Em listas nossa aplicação no Windows, vamos encontrar dois opções para Nessus: Nessus Client e Server Nessus. Se lançar o Nessus Servidor, são apresentados com as seguintes opções, como visto na Figura 11.10. Se modificarmos o número da porta padrão, teremos de modificar o cliente Nessus também. Podemos automatizar nossas atualizações e modificar o tempo de atualização, conforme necessário. Além disso, observe o círculo no canto superior esquerdo da tela na Figura 11.10 -Quando o círculo é verde, isso indica que o servidor está executando e aceitará conexões. É isso aí! Agora estamos prontos para passar para a nossa análise. NOTA Engenheiros: O servidor Nessus podem entrar em conflito com o software antivírus. Adicional configuração pode ser necessária para permitir Nessus para correr e ainda manter o sistema protegido de malware.


FIGURA 11,10 Configuração do Servidor Nessus

Execução Nosso Nessus Scan Para começar uma avaliação e dar um exemplo, vamos usar um dos cenários disponível em http://Heorot.net, bem como no DVD que acompanha: o pWnOS desafio servidor. Esta configuração particular utiliza a máquina virtual pWnOS (VM) da imagem na mesma máquina física como o scanner Nessus, como mostrado na diagrama de rede na Figura 11.11.

Aplicações

Nessus Cliente

Roteador sem fio

Laptop

pWnOS virtual servidor

FIGURA 11,11 Diagrama de Rede Usando pWnOS

Nessus servidor


O cliente Nessus mostrado no fluxo de comunicação (Figura 11.11) não conectar diretamente a nossa meta -esse é o trabalho do servidor Nessus. Isto é extremamente útil -podemos manter qualquer sistema administrativo de ser encalhada para baixo na digitalização. (No entanto, isso realmente não nos ajudar para esta demonstração, porque todos os nossos sistemas estão em um laptop.)

Tools & Armadilhas ... Nessus Server Protocolo de Internet (IPs) Se você digitalizar um grande número de sistemas corporativos para as vulnerabilidades, não se surpreenda quando alguns de seus scans voltar vazia. Eventualmente, os administradores de sistema descobrir o IP endereços de seus servidores Nessus e bloqueá-los. Certifique-se de ter uma política no lugar que os impede de bloquear o seu scanners.

Agora que temos tudo no lugar, podemos iniciar o cliente. Na Figura 11.12, vemos o espaço de trabalho scanner Nessus. Precisamos selecionar e conectar-se ao Nessus Servidor e escolher o nosso alvo. Se seleccionar o "+" localizado sob o símbolo Redes para Scan janela, podemos escolher nossos alvos, como visto na Figura 11.13. Para o nosso exercício, vamos optar por um sistema de varredura -o servidor pWnOS virtual. Porque sabemos que o IP é 192.168.1.103 do nosso trabalho anterior, neste capítulo, vamos selecionar para conduzir uma "Single host "scan contra o nome do host 192.168.1.103. Precisamos também de selecionar o tipo de exames o Nessus Server deve ser executado. Você aviso prévio de dois scans padrão na Figura 11.12 - Default " scan política "e "Microsoft Patches. "Se destacamos a política de scan padrão e selecione o Editar botão localizado debaixo da Selecione uma política scan janela, vemos todos os scans que será executado quando selecionado, como mostrado na Figura 11.14. Podemos criar as nossas políticas de digitalização própria colheita e escolher qual scans que deseja executar. Isso é benéfico quando temos metas diferentes com diferentes níveis de sensibilidade da verificação -alguns sistemas podem ser suscetíveis a falhas do que outros. Ao adaptar a nossa scans podemos equilibrar a segurança com as necessidades do negócio. Como sempre, nós devemos ter permissão para realizar varreduras contra qualquer servidor, antes de iniciar este processo e documentar todas as actividades, incluindo data e hora dos nossos scans. Para este exercício, vamos usar as opções padrão, e usar a política padrão de digitalização contra o servidor pWnOS. Alguns dos scans listados pode inadvertidamente interromper ou falha de um sistema aqueles já estão desmarcados. Em uma situação do mundo real, você tem que ter muito cuidado sobre o que você executar scans. Alguns sistemas são rápidos em crash, o legado especialmente os mais velhos sistemas. Naturalmente, se um sistema de trava por causa de um scan, temos uma constatação relatáveis. Uma vez que fazemos nossas seleções, precisamos selecionar um servidor Nessus -na Figura 11.15, só temos uma seleção, "Localhost", então vamos selecioná-lo para agora. Em um grande organização, podemos ter vários scanners para escolher, dependendo de onde queremos realizar o nosso ataque. Clicamos Verificar agora. Estamos solicitado com a opção para selecionar o localhost, ou podemos adicionar endereços IP para servidores diferentes, se quisermos. Porque estamos executando um servidor localmente, vamos apenas ir com o padrão.


FIGURA 11,12 Scanner Nessus Workspace

Notes from the Underground ... Chaves do Reino Certifique-se de seus servidores Nessus são seguras e endurecido. Adequadamente verificar todos os corporativa sistemas, geralmente é prudente colocar scanners, tanto interna e externa (desmilitarizada zona [DMZ]) redes. Enquanto os ataques internos são riscos graves e reais, qualquer scanners colocado em redes externas estão mais expostos a ataques. Se um hacker mal intencionado pode comprometer um Nessus Server, eles podem obter todos os dados de digitalização conduzida contra seus sistemas, poupando-lhes um muito tempo na identificação de sistemas vulneráveis na sua rede. Porta 1241 no servidor Nessus máquina deve ser restrito a apenas IPs autorizados cliente Nessus.


FIGURA 11,13 Nessus Seleção Target Scanner

Por razões de segurança, o cliente Nessus verifica se realmente sabemos o que estamos fazendo ao se conectar a um servidor Nessus, pela primeira vez. Por clicar em Sim na nova janela (como visto na Figura 11.16), montamos um seguro canal usando criptografia assimétrica utilizando chave pública / privada certificados de chave, que criptografa toda a comunicação entre o cliente eo servidor. Uma vez Nessus estabeleceu um canal de comunicação seguro, os dados vão viajar entre o cliente eo servidor. Enquanto esperamos, a Relatório janela irá preencher com a informação, como visto na Figura 11.17. Podemos selecionar qualquer um dos resultados sempre que eles aparecem, mas a figura mostra 11,17 A verificação foi feita. Quando olhamos para o exame mais de perto, veremos que há uma falha de segurança em potencial. Neste caso, o nosso buraco é o Secure Shell (SSH) do serviço localizado na porta 22. Sondas Nessus diferentes portos, protocolos e aplicações de informação, que vêm em forma de banners e respostas. Depois de receber as respostas,


FIGURA 11,14 Opções de verificação de um padrão de digitalização

ele fornece as sinopses como visto acima. No entanto, ele realmente não verificar a vulnerabilidade -esse é o trabalho do testador penetração ou o administrador do sistema. Apesar de um aviso de segurança-buraco parece ruim, é preciso verificá-lo antes que possamos dizer com certeza que o pWnOS é vulnerável a um ataque na porta 22 ou que não existem algum tipo de mitigar mecanismos de defesa no lugar, produzindo um falso positivo. Se você se lembrar do exercício anterior, neste capítulo, descobrimos que porta 10000 tinha Webmin em execução. Na Figura 11.18, vemos que o scanner Nessus notado a mesma coisa.


FIGURA 11,15 Nessus Server Seleção

FIGURA 11,16 Conectar pela primeira vez a um servidor Nessus

De acordo com o Nessus, Webmin é uma ameaça, mas não uma falha de segurança, pois é marcado com uma cor amarela. Porque já sabemos que qualquer um pode atacar o Webmin usando um exploit publicado e obter informações sensíveis (como criptografado senhas e nomes de usuários), parece que isso pode ser erroneamente. Um bom recurso com Nessus é que você pode modificar o plug-ins para refletir o risco apropriado necessidades da sua corporação. Nessus fileiras suas vulnerabilidades com a cor para o efeito, com o vermelho sendo "Alta" e verde sendo "Baixo exposição. " Realização de identificação de vulnerabilidades sem ferramentas automatizadas parece ser uma tarefa muito mais árdua! Embora possamos executar scans Nessus, ao realizar um teste de penetração, devemos sempre acompanhar manualmente, verificando os resultados


FIGURA 11,17 Espaço de trabalho com 192.168.1.103 como Target

utilizando os mesmos procedimentos mencionados anteriormente no livro. Sempre usar duas ferramentas para cada tarefa. Vamos ver um pouco onde esta regra torna-se importante durante a nossa scans usando CORE IMPACT. Outra razão para realizar as verificações manuais de seguir qualquer scan automático é que as coisas podem ficar perdidas que normalmente não, tais como serviços de alta numeradas portas. Através da realização de verificações manuais, sabemos exatamente quais portas foram examinados e em que momento. O tempo de varredura é um fator importante em testes de penetração. Muitas vezes, automatizado varreduras ocorrem ao mesmo tempo do dia. Riscos de segurança diferentes podem ser identificados se alterar o horário dos exames (se é automático ou manual scans). Black Hats


FIGURA 11,18 Scan Sinopse Resultado na porta 10000

muitas vezes tentam disfarçar suas atividades, e é uma maneira de estar ativo após negócio horas. Dessa forma, os operadores do sistema não percebe nada de peculiar sobre a maneira o sistema está se comportando, porque normalmente ir para casa às 5:00 PM Como testadores de penetração, devemos aleatoriamente digitalizar o mesmo sistema várias vezes para ver se as portas incomum aparecer durante fora de horas, incluindo fins de semana. Não mesmo tem que ser hackers que abrem as portas em horários estranhos. Alguns administradores de sistema usar programas de acesso remoto, como Virtual Network Computing (VNC). Se o administrador está utilizando uma versão de um aplicativo exploráveis VNC, talvez não pegar seu uso usando automatizado, verificações agendadas.


A exploração da vulnerabilidade Neste exercício, vamos nos concentrar na falha de segurança identificada pelo scanner Nessus; especificamente o OpenSSH Debian / Open Secure Sockets Layer Package (SSL) Fraqueza gerador de números aleatórios. Porque queremos automatizar o nosso ataque, vamos usar a ferramenta CORE IMPACT. Vamos usar essa ferramenta, ao contrário do livre ferramenta "Metasploit", por dois motivos: 1. O Metasploit Framework tem sido discutido e amplamente utilizado em apresentações de convenções, em sites de Internet fazendo caminhada através de exemplos, e escrito nos livros (incluindo uma que eu contribuíram para: Metasploit Toolkit: Para Testes de Invasão, Exploit, Desenvolvimento e Vulnerabilidade Pesquisa, ISBN 978-1-59749-074-0, Syngress). 2. CORE IMPACT é incrível. Não, eu não sou um shill corporativo para Core Security Tecnologias, os fabricantes de impacto. Eu tenho simplesmente usado como parte do meu trabalho diário como um verificador da penetração profissional, e achei que fosse um ferramenta essencial dentro da pentest caixa de ferramentas. Porque este livro é sobre testes de penetração profissional, seria um descuido enorme para apenas falar sobre as ferramentas que não possuem uma etiqueta de preço em anexo.

Instalação CORE IMPACT Ao contrário de Nessus, CORE IMPACT fornece algumas opções reais para escolher. Vamos revisão alguns screenshots para ilustrar melhor os requisitos do IMPACT. Figura 11.19

FIGURA 11,19 Aviso antivírus


inclui um aviso sobre a detecção de antivírus. Eles não estão brincando, qualquer um. Isso faz não significa que você precisa para executar o seu servidor sem o software antivírus -apenas certifique-se você seguir as instruções constantes do aviso. AVISO Engenheiros: Tenha cuidado se você está instalando o CORE IMPACT em uma VM. Se o-VM hardware relacionado é modificado, ele pode causar o aplicativo para ver a sua licença instalado como inválido, o que exigirá uma chamada de potencialmente onerosas para suporte técnico.

Como Figura 11.20 mostra, Microsoft Visual C + + está sendo instalado. Embora isso possa não ser um grande negócio para a maioria das pessoas, não têm sido relatados erros em torno deste pacote. Além disso, a adição de uma outra aplicação significa que a Gestão da Mudança grupo pode ter de se envolver para identificar e gerenciar os requisitos de patch. Figura 11.21 mostra que IMPACT usa Python durante o seu processo de instalação. Em fato, os arquivos que estão sendo instalados neste momento são os scripts exploração real, que são todos escritos em Python. Aqueles que estão familiarizados com o Python pode criar e adicionar seus próprios Scripts em Python para a aplicação. Falaremos sobre isso mais adiante neste capítulo, mas IMPACTO não tem todas as vulnerabilidades conhecidas, disponíveis em seu produto. Se você pode programa em Python, você pode adicionar exploits para o programa que não pode ser incluído por padrão, o que permite a equipe de teste de penetração para consolidar recursos, impede a duplicação de esforços e promove o conceito de reutilização. Depois de ter instalado o CORE IMPACT, que será notificado na barra de ferramentas do sistema sempre que novas atualizações estão disponíveis para a aplicação, como visto na Figura 11.22. Isto sugere que há alguns processos relacionados a impacto que estão constantemente em execução no nosso sistema, na verdade, toda a aplicação pode ser executado no fundo. Para aqueles preocupados com o consumo de processo e de memória, há uma vantagem séria para manter o aplicativo na memória. Podemos agendar CORE IMPACTO para executar scans e ataques contra sistemas de destino durante fora de horas quando nós não estão ao redor. Figura 11.23 é um exemplo da tela de programação da Rede vulnerabilidade, que mostra a flexibilidade das opções de agendamento. Além disso, podemos selecionar exatamente

FIGURA 11,20 Instalação do Visual C + + Redistributable


FIGURA 11,21 Instalação de Exploits Escrito em Python

FIGURA 11,22 Notificação de atualização

quais os módulos que queremos executar. Alguns módulos pode levar muitas horas para ser executado, e amarrando-se o sistema para apenas um ataque não pode ser o uso mais racional de recursos do sistema -colocando as tarefas que levam muito tempo no fundo é definitivamente útil.

Exploração Vulnerabilidade CORE IMPACT Mesmo que o impacto é principalmente a exploração de vulnerabilidades de software, ele tem a capacidade para realizar a coleta de informações contra sistemas de destino. Enquanto nós já cobertos que usar o scanner Nessus, eu quero mostrar o que pode acontecer se nós usamos apenas uma ferramenta para todas as tarefas. Quero mostrar algumas das limitações de ferramentas automatizadas também. Ferramentas de fazer as coisas de forma mais eficiente e mais rápido do que se fazer as coisas manualmente.


FIGURA 11,23 Agendamento de rede Teste de Vulnerabilidade

Figura 11.24 é a tela de abertura para IMPACT, versão 8, lançada na última duas semanas de 2008. Algumas das melhorias desta versão incluem cross-site scripting (XSS) e Blind Structured Query Language módulos (SQL) de injeção para a sua aplicação Web Teste de Penetração Rápida (RPT). Após a tela inicial, IMPACT nos apresenta a página principal (Figura 11.25). Uma área-chave é a seção superior rotulados "Pendente Update. "Como podemos ver, há bastante alguns módulos novos que precisam ser adicionados ao aplicativo, que iremos fazer pouco. Outra área importante é o lado esquerdo com os seus dois botões especificamente para a criação e abertura de espaços de trabalho. Finalmente, a página principal apresenta alguma licença informações e uma lista de módulos disponíveis pelo sistema operacional (como visto no início Figura 11.3). Um monte de informações úteis, mas a verdadeira diversão começa quando criamos uma espaço de trabalho. Semelhante ao Nessus, devemos atualizar nossos módulos antes de começarmos os nossos ataques. Quando escolhemos o "Get Atualizações, "que for solicitado para confirmar que queremos ignorar os conflitos como visto na Figura 11.26. Se tivéssemos modificado qualquer um dos módulos para nosso próprio ambiente, isso seria uma coisa ruim. Mas para este ataque, aceitaremos os padrões e prosseguir. Ao contrário da atualização Nessus, esta leva um tempo consideravelmente menor. Na Figura 11.27, há descrições dos últimos módulos, que irá coincidir com aqueles encontrados em Figura 11.25. Com uma aplicação up-to-date, vamos começar o nosso primeiro ataque contra o pWnOS disco. Para fazer isso, selecione a Nova área de trabalho botão, o que nos apresenta o


FIGURA 11,24 Tela inicial para Pro CORE IMPACT

FIGURA 11,25 Front Page IMPACTO


FIGURA 11,26 Recebendo atualizações de IMPACTO

menu na Figura 11.28. Por amor da brevidade, podemos simplesmente criar um nome para o espaço de trabalho e deixe os outros campos em branco. O resto da informação é útil quando imprimir relatórios dentro do aplicativo. A próxima tela, Figura 11,29, nos permite selecionar a nossa licença. Como podemos ver, há apenas uma licença disponível para nós, e que define a faixa de IP que pode usar em nossas consultas, que neste caso é 192.168.0.0/16. Esta gama de IP em particular é o que eu uso em meu laboratório, então é isso que eu contratados com tecnologias de segurança Core. Preços sobre esta aplicação varia, dependendo da faixa que você precisa, mas o aplicativo rapidamente se paga. Não deixe o preço ser um problema. Core Security entende que a proteção dos dados é fundamental, por isso criptografa os espaço de trabalho. Não só criar uma frase secreta, temos que gerar nossa própria semente para o algoritmo de criptografia, como visto na Figura 11.30. Fazemos isso movendo o mouse sobre o retângulo indicado, que usa a localização do mouse como o método de semeadura. Em outras palavras, mesmo se as frases-chave são idênticas em todos os espaços de trabalho, a chave de criptografia é sempre diferente.


FIGURA 11,27 Saída após Updates

Figura 11.31 mostra a tela de configuração final do espaço de trabalho. Se precisamos corrigir qualquer coisa, agora seria o momento. Nós podemos mudar algumas das informações depois que imprimir os relatórios. Mas, pelo amor de continuidade e para manter arquivamento e registro, é melhor para obter a informação correta antes de prosseguir do que tentar explicar quaisquer discrepâncias que possam surgir mais tarde. Isto é particularmente importante se você nunca acabar em tribunal (ou como uma testemunha de acusação ou de uma testemunha hostil para a autor). Os juízes e jurados não estão muito interessados em irregularidades, por isso precisamos fazer certeza de que fazemos tudo corretamente. Podemos selecionar a placa de rede que deseja usar, outra característica que é muitas vezes negligenciado em IMPACT. Este foi realmente um obstáculo para algumas pessoas eles pensam que são ligados à sua rede de destino, mas parece que não consegue encontrar o alvo. O problema é que o sistema host pode apontar para a rede de destino, mas o Aplicação de impacto não é. É vantajoso ter a flexibilidade para selecionar diferentes redes sem ter que reconfigurar o sistema host, mas é fácil ignorar o opção de executar em diferentes dispositivos de rede e ficar frustrado quando nada está indo corretamente. Na Figura 11.32, vemos as opções de configuração de rede. Note que podemos também especificar as informações de proxy, se necessário e fornecer tradutor de endereços de rede (NAT) informações para o aplicativo. Se estamos em uma rede sensíveis, também podemos desabilitar IMPACTO de se conectar através da Internet para obter as últimas notícias sobre o produto.


FIGURA 11,28 Criando um novo espaço de trabalho

Ok, chega com a configuração inicial -algo vamos hack! Estaremos atacando o pWnOS usando a configuração de rede encontrados na Figura 11.33. Novamente, o Endereço IP para o servidor é 192.168.1.103 pWnOS. Para mostrar a vantagem de ferramentas automatizadas, vamos selecionar o caminho menos complicado para o nosso ataque. Com IMPACT, podemos clicar apenas alguns botões e, potencialmente, um sistema próprio. Os passos são mostrados na Figura 11,34. Vamos apenas um passo pelas opções primeiro casal, começando com a Rede Coleta de informações. IMPACTO pede-me a faixa de IP e se eu deveria realizar uma "Fast" scan (que "Reúne apenas a informação suficiente sobre a específica rede a faixa para ser capaz de lançar ataques "), ou uma verificação personalizada, que permiteme para selecionar quais módulos que deseja executar. Para o nosso exemplo, vamos tentar reunir o máximo de informação quanto pudermos, e ter o aplicativo executar toda a rede disponível scans. O resultado pode ser visto na Figura 11.35. Mencionei anteriormente que devemos sempre usar duas ferramentas diferentes para validar nossa da informação. Figura 11.35 mostra essa necessidade. Se você olhar novamente a Figura 11.18, você notará que Nessus identificados porta 10000 como Webmin, no entanto, IMPACTO acredita que está relacionado com Veritas. Porque nós já explorado essa porta, nós sabemos


FIGURA 11,29 Seleção de licença

o que está realmente lá, mas se tivéssemos simplesmente contou com impacto para nos dizer o que foi no servidor, teríamos perdido a explorar o servidor e coleta nomes de usuários e senhas criptografadas -outra razão para sempre verificar duas vezes com ferramentas diferentes. A próxima coisa que podemos fazer é atacar o sistema com o que acredita IMPACTO pode explorar o alvo, com base nos dados de varredura. Voltando à Figura 11,34, nós basta clicar na segunda opção Ataque e Penetração de rede. Figura 11.36 é o resultados do nosso ataque. Se tivéssemos sido bem sucedida, teria havido um adicional módulo de leitura de um cliente tinha sido instalado em nosso sistema de destino. Uma vez que estamos sucesso, estamos modificando a nossa meta, e necessidade de documentar as nossas actividades com cuidado. Infelizmente, depois de executar estes ataques, não foram fornecidos um shell dentro do nosso sistema de destino. Se tomamos como referência a Figura 11.17, nossas esperanças se tinha assentado na Debian Explorar SSL. Um bom recurso dentro IMPACT é que cada atividade é registrada dentro do espaço de trabalho. Vamos dar uma olhada nos resultados exploração real para ver o que aconteceu. Figura 11,37 nos fornece algumas informações sobre a falha do módulo. Basicamente, o exploit não podia correr, porque o impacto é executado em um Windows


FIGURA 11,30 Criptografar o Workspace

máquina; a sugestão proposta pelo módulo é para executar o exploit em um sistema Linux sistema com OpenSSH instalado. Para continuar, eu uso a imagem de VM para BackTrack (Disponível no DVD que o acompanha), que já tem OpenSSH instalado. Existem duas opções -que pode (1) tentar encontrar a façanha em um site de Internet, como fizemos no início do capítulo, ou (2) podemos deixar IMPACTO fazer todas as de trabalho. Vamos escolher a opção (2). Figura 11,38 ilustra o que precisamos fazer para configurar um agente remoto em nosso BackTrack servidor. Antes de implantar o agente, é preciso lançar o serviço SSH no disco BackTrack. Uma vez que fizermos isso, podemos nos conectar através do serviço SSH e instalar o agente. Porque o servidor BackTrack é um sistema que controle, podemos adicionar ou remover shells remotos, conforme necessário. A vantagem em usar o agente de IMPACTO é que ele reside completamente na memória. Nós também pode deixar o agente instalado em BackTrack para que possamos restabelecer em um momento posterior. CORE IMPACT notifica-nos com um prompt de áudio que um agente foi implantado. Para confirmar a existência de um agente, que pode exibir informações sobre o nosso BackTrack servidor, que tem o endereço IP de 192.168.1.104 na Figura 11,39. Como você pode ver,


FIGURA 11,31 Workspace Screen Conclusão Setup

o servidor tem o agente listados sob o endereço IP e podemos obter detalhes sobre como o agente foi implantado. Vamos executar o Debian OpenSSL ataque novamente, usando o agente no BackTrack VM. Na Figura 11.40, selecionamos a nossa meta, que é o servidor pWnOS. Desta vez, o ataque será executado a partir do servidor BackTrack-se -não a partir do host IMPACTO sistema (Windows Vista). O que acontece é o exploit Python é copiado para o BackTrack servidor e executado contra a nossa meta -o servidor pWnOS. Note que eu escolhi o nome de usuário "Obama". Estou fazendo isso por causa da brevidade. Normalmente, poderíamos usar todos os nomes foram coletados quando explorou o Webmin aplicação no início do capítulo. Ao invés de mostrar a cada um dos ataques, nós apenas estamos indo para usar "Obama". Afinal de contas, o ponto deste exercício é para ver como nós pode executar com sucesso um ataque automatizado -não mostrar cada etapa que falhou ao longo do caminho. Falando de brevidade, este ataque é nada, mas breve. Eu tive sorte e completou este ataque em pouco mais de 8 h. Imagine quanto tempo levaria para fazer todos os usuários, incluindo a raiz. Esta é a razão pela qual eu não selecionou este worm como o primeiro a tentar. A exploram Webmin foi muito mais rápido e rendeu bastante informação que nós


FIGURA 11,32 Configuração de Rede

poderia relatar o problema de imediato como um sistema exploráveis, que pode ser suficientes em climas determinado negócio, como discutido anteriormente. Figura 11.41 dá-nos os nossos resultados -sucesso! Um novo agente foi implantado no servidor pWnOS. Como você pode ver, o agente foi implantado no host / 192.168.1.104/192.168.1.103, o que significa que o nosso agente em BackTrack instalado um agente em pWnOS. IMPACTO diz que agora temos um agente no servidor pWnOS. Vamos testá-lo, não é? Se lançar o agente como um shell, temos o que vemos na Figura 11,42. Depois de correr um casal comandos, vemos que somos o usuário "Obama" no servidor pWnOS. Porque temos obtido o acesso não autorizado ao sistema, neste momento, precisamos para classificar qual a área de controle dentro do OSSTMM isso impacta vulnerabilidade. Dependendo do nível de autorização concedida ao usuário "Obama", as áreas


Aplicações

CORE IMPACT

Roteador sem fio

Laptop

pWnOS virtual servidor

FIGURA 11,33 Configuração de rede usando CORE IMPACT

FIGURA 11,34 Rapid pentest

afetados podem incluir não-repúdio, confidencialidade, integridade e privacidade. Mais enumeração do sistema de destino é necessária para quantificar a gravidade desta vulnerabilidade; mas considerando o número de áreas de controle são afetados, essa constatação é grave. Então o que nós aprendemos com este exercício com ferramentas automatizadas? Sim, nós aprendemos como identificar as vulnerabilidades e realizar uma façanha contra o OpenSSL. Nós aprendi mais do que isso, bem como, para começar, sabemos que aplicações automatizadas


FIGURA 11,35 Informação recolhida Target

FIGURA 11,36 Explora Ran contra sistema de destino


FIGURA 11,37 Debian OpenSSL Mensagem de erro Exploit

FIGURA 11,38 Estabelecer um agente remoto no BackTrack Server

pode fazer as coisas erradas. IMPACTO estava incorreto na rotulagem porta 10000 como Veritas. Considerando como Webmin raras é usado em sistemas corporativos, ele só faz sentido supor que era Veritas, que é amplamente utilizado em grandes empreempresas. Não é incomum para este tipo de identificação errada acontecer. Outra coisa que aprendemos é que as ferramentas automatizadas pode salvar-nos muitos, muitos horas de trabalho, especialmente se usarmos recursos de agendamento. Nessus não só digitalizados o nosso alvo, mas também nos forneceu informações muito detalhadas sobre o que vulnerabilidades para olhar e deu-nos links para obter mais informações sobre cada um dos as vulnerabilidades. Ele também forneceu um ranking de gravidade, que pode ser usado para


FIGURA 11,39 Agente Implantado em BackTrack Server

priorizar os nossos ataques, se necessário -quando se lida com milhares de sistemas, há precisa ser de alguma forma conveniente para sift através de todos os dados. IMPACTO oferece automação adicionais através do seu recurso de programação e pode explorar um sistema com pouca interação humana. Ao invés de gastar todas as suas tempo conduzindo a identificação da vulnerabilidade e exploração, usando as ferramentas certas pode economizar o tempo pentest equipe valiosa e reduzir os custos globais.

EXPLORAR CÓDIGOS -CRIANDO SUA PRÓPRIA

Se você tiver tempo, durante um teste de penetração, você pode ser capaz de criar seus próprios exploits. Esta não é uma coisa simples, no entanto. Criar a sua própria exploits é um tópico avançado que não podemos cobrir eficazmente neste livro. Discutimos métodos de criação explora a um nível elevado e fornecer alguns exemplos para entendermos o conceito. AVISO Gerentes de projeto: Criação de códigos de exploração é extremamente caro em um projeto, especificamente no comprimento do projeto e mão de obra. Existem algumas ferramentas automatizadas que pode reduzir este custo, mas o tempo para criar exploits será ainda intensivo.

Exploit Códigos -Criando o seu próprio 321

FIGURA 11,40 Configurando e executando o Debian OpenSSL Attack

FIGURA 11,41 Exploração Notificação Sucesso


FIGURA 11,42 Shell em pWnOS

Fuzzing Fuzzing pode ajudar a identificar as partes de um aplicativo que pode ser explorada. Simplificando, difusão é um processo onde os dados aleatórios é passada para um aplicativo na esperança de que uma anomalia será detectada. Ao alvejar uma parte de um aplicação que aceita entrada do usuário, a anomalia pode indicar a presença de esfregando dados incorretos, o que pode permitir que um estouro de buffer. Outra forma de entender o conceito de difusão é vê-lo como força bruta. Normalmente, associamos força bruta com ataques de senha, mas podemos fuzz contra qualquer parte de uma aplicação que aceita dados fornecidos pelo usuário. Usando um exemplo, talvez, seria mais fácil de explicar. Na Figura 11,43, estamos executando um programa chamado "Jbrofuzz" que é uma aplicação fuzzing bem conhecido para encontrar diretórios em um servidor Web. Neste cenário, nós pedimos o difusor de olhar para qualquer diretório localizado em um destino com um endereço IP de 192.168.1.107. Na Figura 11,43, podemos ver ele tentando detectar diretórios pela força bruta, simplesmente usando cordas pseudorandom para nomes de diretório. Esta versão particular de Jbrofuzz tem uma lista de 58.658 nomes que pode usar como nomes de diretório durante o processo de difusão. Fuzzing pode demorar bastante tempo para terminar, por isso é melhor para automatizar durante fora de horas.

AVISO Engenheiros: A realização de ataques contra sistemas de fuzz remoto através de uma monitorados rede pode alerta de segurança de rede da sua presença. Se você precisar passar despercebida, fuzzing pode não ser uma atividade pentest apropriado.

Podemos usar um difusor, sempre que descobrimos um lugar para inserir dados fornecidos pelo usuário em um aplicativo -não apenas para encontrar diretórios. Há um monte de fuzzers diferentes disponíveis, bem, que trabalham em princípios diferentes. O princípio que usamos em Figura 11,43 é referido como "Generation". Basicamente, o difusor é dado algum informações como o que procurar, mas não se afastar dos parâmetros que lhe foi dada. Na Figura 11,43, a informação dada foi a 58.658 palavras para tentar como diretórios.

Exploit Códigos -Criando o seu próprio 323

FIGURA 11,43 Java Fuzzer Bro Procurando diretórios na Porta 80

A Fuzzer Generation realmente complexo vai usar combinações de palavras pré-definidas como bem como alterar estas palavras diretório, para (esperamos) descobrir novos diretórios. O outro tipo de difusão é Fuzzing mutação, o que leva os dados (por exemplo, um Transmission Control Protocol [TCP] pacote) e se transforma os valores. Este técnica é útil em encontrar falhas em protocolos de comunicação ou de comunições com os pedidos. Fuzzing mutação é freqüentemente usado contra as informações da sessão com aplicações de servidor Web. A partir da perspectiva do OSSTMM, identificando diretórios adicionais podem afetam de Privacidade e Confidencialidade de um sistema. Não é incomum encontrar diretórios que deve ser protegido por senha, mas foram mal configurado de modo que controles de proteção são ineficazes. Nos casos em que você encontrar pastas com informações confidenciais, os dados acessíveis poderia conter planos de negócios, patentes informações, configuração do sistema / rede e arquiteturas, dados, privacidade e


mais. O tipo de informação exposta irá determinar qual a área de controle é afectados no âmbito da avaliação OSSTMM.

Revisão de Código Outro método de detecção de vulnerabilidades é através da análise do próprio código. Em alguns casos, o seu esforço de teste de penetração vai incluir o acesso ao código do aplicativo; a vantagem é que você vai saber exatamente o que o aplicativo faz. A disvantagem é o tamanho da base de código é muitas vezes demasiado grande -não é incomum a confrontar dezenas de milhões de linhas de código em um aplicativo. A maneira rápida de olhar para falhas é usando um aplicativo projetado especificamente para esse trabalho; da Microsoft PREfast ferramenta de análise é capaz de analisar C / C + + código para problemas de segurança. Existem outras ferramentas, bem como, incluindo a ferramenta de Audição de Segurança (RATOS) disponível em www.fortify.com / security-resources / rats.jsp, que também verifica C / C + + programas com uma lista de vulnerabilidades conhecidas. No entanto, só porque nós encontrar uma falha em um aplicativo não significa que ele pode ser usado para criar um exploit. O fator determinante sobre a exploração de uma falha está dentro de como o programa é compilado. O que esperamos é uma maneira de injetar o nosso próprios dados para a falha, o que fará com que o programa trave. Isto é muito difícil só de olhar para o código, porque -como mencionado -o compilador pode construir o executável de tal forma que é impossível travar o aplicativo, apesar do que o código pode revelar. Na melhor das hipóteses, você é deixado com áreas para iniciar o seu ataque. Onde você vai encontrar o maior sucesso na análise de código é a adição de usernames, senhas e nomes de domínio (ou endereços IP). Em alguns casos, programadores tomar atalhos e intencionalmente adicionar informações de acesso dentro do código para que um aplicativo pode se comunicar com um servidor sem ter que envolver o usuário. Isso ocorre frequentemente em aplicações que se conectam a bancos de dados, geralmente para fins de registro. É possível que nós podemos pular a revisão do código e simplesmente coletar essas informações através de um sniffer de tráfego, no entanto, descobrimos que a maioria dos o tempo que o canal de comunicação é criptografada, impedindo-nos de detectar o desleixado técnicas de programação. Devemos também estar à procura de backdoors instalados pelos desenvolvedores. Estes backdoors são atalhos que foram incluídas no código para tornar acessíveis os uma aplicação mais fácil para o desenvolvedor quando eles estavam escrevendo o código.

Aplicação Invertendo Para as pessoas interessadas em aprender montagem, aplicação reverter é emocionante. Para o resto de nós, engenharia reversa de um programa pode parecer assustadora. Se nós absolutamente tem que saber o que o aplicativo está fazendo e não temos acesso ao código, a nossa única opção é começar a engenharia reversa. Nós não vamos dissecar o montagem aqui, a abundância de outros livros discutir engenharia reversa melhor do que eu poderia nesta seção curta. No entanto, é útil entender que o que as pessoas escrever e que o computador lê e executa são dramaticamente diferentes. É

Hacking Web 325

também útil para entender o que possíveis vetores de ataque existem, mesmo que seja para além o âmbito deste livro. Vamos dar uma olhada em um programa muito simples maioria de nós está familiarizado com: int main (int argc, char * argv []) { printf ("Olá mundo \ n"); return 0; }

Depois que compilá-lo, podemos usar um programa como o "Gdb" para ver a montagem código, que é impressa em baixo: : ebp% push : mov% esp,% ebp : sub $ 0x8,% esp : e $ 0xfffffff0,% esp : mov $ 0x0,% eax : sub% eax,% esp : movl $ 0x80484c4, (% esp) : call 0x80482b0 <_init+56> : mov $ 0x0,% eax : deixar : ret

De uma perspectiva de revisão do código, estamos interessados na printf comando, porque ele não verifica o comprimento de entrada. Se o printf comando foi usado para imprimir dados fornecidos pelo usuário, estaríamos olhando para uma possível falha funcional (buffer overflow). De uma perspectiva de engenharia reversa, podemos identificar que os dados são empurrada para a memória ($ 0x80484c4) sem qualquer cheque tamanho do buffer. Nós realmente precisa de alguma maneira a modificar o buffer, embora -Atualmente, o programa não inclui a entrada do usuário. Se nós incluímos uma forma de o usuário adicionar informação, pode ser possível realizar um ataque de estouro de buffer. Recursos externos podem ajudar você a entender melhor o poder de usar reverso engenharia em um teste de penetração. Este é um processo lento -mais ainda do que o código opiniões.

HACKING WEB Um vetor de ataque muito popular alvos sites. Em testes de penetração externa, muitas vezes a única aplicação disponível é um servidor Web, porque firewalls são configurados para restringir qualquer outra comunicação. Ataques web são muito produtivo vetores de ataque, quando bem sucedida, uma grande quantidade de dados está disponível além dos dados de login simples. Como veremos, os ataques de Web pode paralisar a capacidade de uma empresa para fazer um lucro se o dados hackeado está vinculado a compras.


Há uma grande quantidade de ferramentas disponíveis que auxiliam no hacking Web, no entanto, vamos começar da mesma maneira que sempre fazemos -manualmente. Nesta seção, discutiremos duas das os ataques mais popular: SQL e ataques XSS. Discutimos, também, a aplicação Web ataques, a um nível elevado, porque nós já demonstrou um ataque de aplicação Web (O Webmin explorar no início do capítulo). Para demonstrar essas façanhas, vamos usar um dos melhor formação aplicações -WebGoat, que é apoiado pelo Open Web Application Security Project (OWASP). Você pode encontrar mais informações sobre o WebGoat projeto em www.owasp.org. Por conveniência, WebGoat, versão 5.0 é incluído no DVD que o acompanha.

SQL Injection De acordo com NIST Special Publication 800-95, injeção de SQL é um "Técnica usado para manipulação de serviços Web, que enviam consultas SQL para um [RDBMS relacional sistema de gestão de dados] para alterar, inserir ou excluir dados em um banco de dados " em outras palavras, é hora de aprender a construir comandos de banco de dados. WebGoat fornece algumas informações básicas, mas não o suficiente para realmente entender e ofício a sintaxe necessária. Há livros disponíveis que podem ajudar a preencher em qualquer lacuna de conhecimento que você possa ter em relação a sintaxe SQL, mas o exemplo a seguir não é muito difícil e deve ser fácil o suficiente para seguir adiante. Se as entradas do usuário são higienizados adequadamente em um aplicativo usando um back-end banco de dados, SQL injeções não iria funcionar, no entanto, as injeções de SQL trabalho mais frequentemente do que deveriam. Usando WebGoat, podemos ver como o SQL injeções de trabalho -em Figura 11,44, podemos ver o resultado de tentar fazer logon como Tom. Infelizmente, o login falhou. Parece que não há nenhuma pessoa com o sobrenome do "Tom" no banco de dados. Nós poderíamos realizar um ataque de força bruta usando um monte de nomes ou nós poderia tentar obter o banco de dados back-end para nos dar tudo o que sabe. Uma das sugestões dadas a nós neste desafio (como visto na Figura 11.44) é a forma como a consulta de banco de dados funciona: SELECT * FROM WHERE last_name = user_data 'Tom'

Uma vez que aprender o que os comandos de banco de dados próprio parecer, vamos conhecer o seguinte comando deve dar-nos tudo: SELECT * FROM WHERE last_name = user_data 'Tom' OR '1 ' ='1 '

O que estamos dizendo ao banco de dados com o novo comando é para exibir o user_data associado com o TOM usuário. . . Ou dar-nos tudo, porque 1 = 1 (o banco de dados só vai responder com a informação se a consulta é uma afirmação verdadeira. Quando nós só olhar para Tom e ele não encontrar qualquer usuário com o sobrenome do TOM, ele retorna como FALSE, significando que recebemos nenhuma informação. O "OR 1 = 1 declaração "forças do consulta de banco de dados devem ser interpretados como TRUE, o que leva o banco de dados para nos dar tudo, desde user_data).

Hacking Web 327

FIGURA 11,44 Login Failed

Com esse conhecimento, podemos modificar o nosso contributo para tornar o banco de dados de receber a seqüência completa. Na Figura 11,45, vemos que temos injetou com sucesso comandos de banco de dados para o aplicativo e adquiriram todos os cartões de crédito informações para todos os usuários dentro do banco de dados. Injeções de SQL são exemplos perfeitos de fraquezas nos controles de integridade, de acordo com o OSSTMM. Além disso, privacidade também podem ser impactados, como mostrado na Figura 11,45 com a divulgação de informações de cartão de crédito associado a os nomes do pessoal da empresa. Confidencialidade e não-repúdio são outros áreas de controle que as injeções de SQL pode ter impacto, dependendo da classificação de dados e funcionalidade do aplicativo exploráveis.

Cross-Site Scripting

De acordo com NIST Special Publication 800-95, ataques XSS são possíveis quando um serviço Web válido tem seus pedidos "Transparente redirecionado para um atacanteserviço Web controlada, na maioria das vezes aquele que realiza operações de maliciosos (NIST, 2007). "O melhor uso para este tipo de ataque é reunir informações sobre a sessão de um usuário vítima, especialmente se essa vítima é um administrador. Assim que a sessão informação é recolhida, às vezes é possível realizar um ataque de repetição -utilização as informações da sessão para entrar no servidor vulnerável como a vítima. Vamos dar uma olhada em um exemplo usando WebGoat. Na Figura 11,46, vemos o início da XSS exercício Lab. Neste exemplo, vamos usar o nome de usuário Tom Cat, que usa "Tom" como uma senha (sem as aspas).


FIGURA 11,45 Injeção de SQL sucesso

Depois que entrar, podemos selecionar Tom Cat e editar seu perfil (eu não incluí essas imagens por razões de brevidade -eles são auto-explicativos se replicar este exercício em seu próprio laboratório.). Na Figura 11,47, estamos interagindo com o banco de dados, que esperamos é vulnerável a um ataque XSS. No "Street" campo, podemos insira o seguinte Hypertext Markup Language (HTML) (somente parte dela é visível na Figura 11,47, mas é tudo que existe, no entanto): <script> alert ("roubar ID de sessão" + document.cookie)

Depois de salvo, uma janela de alerta irá aparecer com as informações de identificação de sessão. Depois temos injetou com sucesso o nosso script, vamos esperar até que alguém visita de Tom informação, espero que alguém com privilégios mais elevados do que Tom. Na Figura 11,48, temos registrado como gerente de Tom -Jerry, para simular o resto do ataque XSS. Quando Jerry visualizações de perfil de Tom, o script de alerta aparece, como mostrado na Figura 11,48. Observe na caixa de alerta que a identificação do gerente da sessão foi gravada. Se um utilizador mal intencionado que obtém ID, ele / ela poderia entrar no sistema como Jerry com todos os seus

Hacking Web 329

FIGURA 11,46 WebGoat XSS Exercício de Laboratório

FIGURA 11,47 Injetando "Alerta" Script em banco de dados


FIGURA 11,48 ID Manager Session Stolen

privilégios. No mundo real, um usuário malicioso não criaria um "Alarme" caixa ele / ela iria usar JavaScript ou outra linguagem de programação que embute em HTML para enviar o ID da sessão para o usuário mal-intencionado, sem que a vítima sempre saber o que aconteceu. Os ataques XSS são extremamente eficazes no acesso a um sistema ou privilégios elevação (que discutiremos no próximo capítulo). Há um monte de outros dados que podem ser colhidos como bem, não basta IDs de sessão. No entanto, por obter o ID da sessão de um gerente, um usuário malicioso pode mascarar-se como que gerente e de acesso ou modificar informações pessoais e sigilosas. Qualquer modificação de informações serão automaticamente atribuídas ao gestor -não o mal-intencionados usuário -que demonstra claramente a falta de controles em torno Nonrepudiation, de acordo com o OSSTMM.

Vulnerabilidades Web Application Apesar de injeções SQL e ataques de XSS podem ser usadas para obter dados, o aplicações que fazem interface com o mundo também podem ser vulneráveis a explorar. O Webmin explorar no início deste capítulo é um exemplo perfeito de um Web vulnerabilidade de aplicativos. Se olharmos para o código de exploração em si, podemos ver que o truque era injetar caracteres extras na URL -em outras palavras, um buffer de overflow. . . comum, mas perigoso engano,.

Hacking Web 331

Quando se trata de descobrir exploits para aplicações Web, nós simplesmente seguir o mesmo processo mencionado no início do capítulo: 1. Identificar aplicativos em execução em portas (normalmente a porta 80 ou 443 para Web aplicações, mas não se limite apenas aos portos -há uma infinidade de aplicações Web administrativa do alto portas de números). 2. Encontrar informações sobre a versão (se possível). 3. Procure exploits na Internet. 4. Executar as façanhas contra a aplicação de destino. Além disso, certifique-se usar várias ferramentas para identificar o aplicativo. Como vimos no Capítulo 10, banners podem estar errados. Então, que tipos de vulnerabilidades existem especificamente em aplicações Web? A maioria deles já cobrimos, mas segundo a OWASP, estes são os top 10 vetores de ataque: ■

Cross Site Scripting (demonstrado em WebGoat)

■

Falhas de injecção (incluindo injeções de SQL)

■

Execução de arquivo malicioso (tipicamente envolve o upload maliciosos e programas desmarcada em um servidor, um exemplo seria o "PHP remoto arquivo de inclusão "vulnerabilidades)

■

Referência Insegura Direta à Objetos (similar ao arquivo Webmin Arbitrária Vulnerabilidade de divulgação)

■

Cross site request forgery (um ataque que visa navegador da vítima)

■

Vazamento de informações e tratamento de erros inadequada (Similar ao / php Web diretório identificado pelo Nessus depois que ele examinou o servidor pWnOS)

■

Gestão de autenticação e de sessão quebrado (hacking sessão, como visto na WebGoat)

■

Armazenamento inseguro de criptografia (isto é simplesmente design má aplicação, quando programadores não usam a melhor forma de implementar a criptografia ou criptografia incorretamente)

■

Comunicações inseguras (inclui o envio de nomes de usuários e senhas em toda a rede sem criptografia, onde qualquer pessoa escutando a rede segmento pode capturar os dados)

■

Falha de Restrição de Acesso à URL (programação mais imprópria, onde um usuário mal intencionado pode ignorar log-in medidas de segurança)

Ao realizar um teste de penetração, precisamos olhar para todos estes vulnerabilidades. Depois de examinar a lista de top 10, a maioria deles podem ser categorizados como configuração incorreta ou inadequada práticas de codificação. Você verá que em torno de 90 por cento de todas as suas façanhas bem sucedida será a partir errada -o outro


10 por cento consiste em exploits publicados encontrados em aplicações como o CORE IMPACT ou disponível em www.milw0rm.org. Há também ferramentas automatizadas disponíveis, que são bastante eficazes na análise e explorar as falhas de aplicativos Web. CORE IMPACT acrescentou XSS e SQL ataques às ofertas RPT. Outra ótima ferramenta é HP WebInspect, oferecido pela Hewlett-Packard Development Company. Ele também é um produto comercial, mas eu tê-lo usado como bem e achei muito útil na análise de aplicações web. Alguns existem soluções livres, bem como, incluindo Nikto e Proxy Paros.

PROJECT MANAGEMENT Como mencionado anteriormente, ainda estamos no grupo de processos de execução especificamente dentro do processo Orientar e gerenciar a execução do projeto. As informações fornecidas nos dois capítulos anteriores sobre os processos de Execução e direta e Gerenciar a execução do projeto ainda se aplicam a esta fase do projeto de teste de penetração.

Fase Processo de execução Com o lançamento da fase de verificação de vulnerabilidades no teste de penetração, nós estão profundamente envolvidos na fase de processos de execução. Verificação de vulnerabilidade pode ainda requerem modificação de recursos alocados, incluindo pessoal e sistemas de teste, dependendo dos resultados. A maior pressão sobre os recursos é quando novos informações são extraídas a partir do alvo, o que revela novas vulnerabilidades. Para reduzir o impacto destas descobertas sobre o sucesso global do projecto, comunicação assume um papel muito mais crítico.

Distribuição de informação O Plano de Gerenciamento de Comunicações é o insumo mais importante para ambos os Processar informações de Distribuição e do Gerenciamento dos Stakeholders. Embora Distribuição de informação é essencial para todas as fases de um projeto de teste de penetração, é mais durante a fase de verificação de vulnerabilidade. É durante este tempo o pentest equipe corre o maior risco de afetar negativamente sistemas operacionais; para atualização, verificar e validar o Plano de Gerenciamento de Comunicações é um imperativo. Distribuição de informação se concentra em alguns aspectos diferentes, inclusive recebendo a informação certa para a pessoa certa no momento certo. Com teste de penetração projetos, os requisitos de maior impacto dentro de Comunicações Plano de Gestão incluem requisitos das partes interessadas de comunicação (que é discutido abaixo), a identificação dos indivíduos responsáveis por transmitir a informações, o método (e-mail, telefone, e assim por diante) de comunicação, e os processo de escalonamento. Porque esta fase do teste de penetração pode envolver caro e sensíveis ao tempo eventos, certifique-se que os itens relacionados à comunicação emergências incluem planos de comunicação que refletem a sensibilidade do Pentest projeto.


Processo de Monitoramento e Controle O processo de Monitoramento e Controle é um processo contínuo que engloba todas as as outras fases do projeto. Na fase de verificação de vulnerabilidade do teste de penetração, os processos de gerenciamento de projetos que têm o maior relevância são de Controle de Programação e Gerenciamento de Stakeholders.

Controle da programação A verificação de vulnerabilidade envolve principalmente a identificação de erros de configuração em sistemas de destino, aplicativos e dispositivos de rede. Apenas cerca de 10 por cento de todos exploits verificados são o resultado de exploits publicados. Porque os engenheiros não são capaz de identificar todas as vulnerabilidades potenciais na fase de identificação de vulnerabilidades do esforço de teste de penetração, gerentes de projeto deve alocar tempo adicional para este fase do pentest projeto. Seria bom para fornecer uma estimativa de tempo para o estádio exploits desconhecidos, mas há muitos fatores que afetam a duração do tempo necessário que não é possível sem saber os fatores de antecedência. Fatores incluir o tamanho ea complexidade da rede ou sistema alvo, relações de confiança que existem entre o alvo e sistemas externos, o nível de habilidade da equipe pentest e como se relaciona ao alvo, entre outros. Comunicação com o pentest equipe é a melhor maneira de avaliar quanto tempo deve ser alocado para essa fase. O problema do aumento do escopo foi mencionado antes, mas geralmente a partir do perspectiva de mudanças no escopo que emana do cliente. Na vulnerabilidade Fase de verificação, a pressão para expandir o escopo do projeto vem de dentro da Pentest própria equipe. Dado tempo suficiente, esforço e recursos, uma equipe pode pentest hack, teoricamente, em qualquer sistema. O gerente pentest projeto será confrontado com o desafio de restringir o pentest equipe para o período de tempo atribuído durante este fase do projeto, simplesmente porque o pentest equipe, muitas vezes, estar perto de alcançar façanhas adicionais. O gerente de projeto será seduzido pela promessa de exploits que irá impactar positivamente o relatório final do teste de penetração. Ou não tempo adicional pode ser atribuído a esta fase deve ser equilibrada cuidado com o impacto real que os compromissos adicionais terá sobre expressando a segurança geral do sistema de destino e / ou rede. Muitas vezes, explorações adicionais não melhorar a compreensão das partes interessadas do alvo postura de segurança. No entanto, em alguns casos, permitindo mais tempo para o pentest equipe pode ser o ponto de inflexão para o cliente, ou de gestão superior. Eficaz comunicação com o pentest equipe e as partes interessadas podem ajudar a determinar Claro que é o melhor a tomar.

Gerenciar as partes interessadas O gerente de projeto é responsável pela gestão das partes interessadas. É até o gerente de projeto para entender as necessidades, metas e objetivos das partes interessadas, e para facilitar o nível de comunicação necessária para atender a essas necessidades, metas e objetivos. Quando a equipe começa a sua pentest ataque ao do cliente sistemas através da rede, a comunicação das partes interessadas precisa elevar


dramaticamente. Tempos de resposta às suas necessidades deve ser medido em minutos, não em horas ou em dias. Nas situações de pior caso onde crash sistemas, os engenheiros devem ser capaz de suspender imediatamente suas atividades e fornecer excruciatingly detalhada informações sobre o que eles estavam fazendo antes do acidente, até mesmo o granularidade dos quais chaves eles empurraram em que momento. É por isso que é imperativo impressionar os engenheiros a necessidade de registro durante o teste de penetração. Os registros de problemas também são muito úteis durante esta fase do teste de penetração. Por anotar todas as questões e acompanhamento da sua resolução, o gerente de projeto pode acompanhar os problemas que ocorreram, eo que foi feito para corrigir o problema. Falta para resolver os problemas podem resultar em conflitos e atrasos.

RESUMO Neste capítulo, nós cruzamos o limite que separa o trabalho de auditoria do trabalho reservada para testadores de penetração profissional. Através da exploração de nosso sistema alvo, são capazes de verificar as vulnerabilidades que os projetos de auditoria só pode prever. Há um pletora de livros e tutoriais on-line dedicado a Verificação de vulnerabilidade disponível para as massas. No entanto, é importante lembrar que no profissional testes de penetração, há uma série de fatores externos que afetam o que ferramentas que usamos e quando. Escopo do projeto pode limitar seus ataques somente para aqueles que são nondesobstrutiva. Enquanto isso reduz as chances de sistemas de bater, ele não fornece uma análise abrangente da postura do alvo segurança. Além disso, restrições de tempo sempre existem em um pentest projeto, obrigando o gerente de projeto para escolher pentest que as tarefas podem ser tentada, e por quanto tempo -gerentes de projeto raramente dar ao luxo de dar rédea solta engenheiros. Devido a essas limitações, usar o de automação e controlo apertado sobre as mudanças do escopo é um imperativo. Ferramentas automatizadas pode estar errado em suas análises. Ferramentas podem identificar incorretamente aplicações, resultando em oportunidades perdidas de exploração. Validar os resultados sempre que possível. Isso não significa que os métodos manuais são a melhor maneira de identificar vulnerabilidades, tampouco. Ferramentas de difusão e força bruta executar operações que não são apenas humanamente possível dentro de um teste de penetração profissional. Resumindo: qualquer pessoa interessada em se tornar um testador de penetração profissional ou a necessidade de gerenciar um projeto pentest deve estar intimamente familiarizado com todos os aspectos da Verificação de vulnerabilidade. Testadores de penetração não pode simplesmente confiar em ferramentas para identificar e explorar todas as vulnerabilidades de uma rede ou sistema alvo. Sim, as ferramentas podem ajudar o progresso de velocidade, mas os engenheiros devem entender os pontos fortes e limitações dessas ferramentas. Não foi muito, muitos anos atrás, quando as empresas estavam satisfeitos com Nessus simples scans à linha de base a sua postura de segurança. A indústria passou um longo caminho desde os dias e agora exige conhecimento e engenheiros do projeto gestores para mergulhar profundamente em sua arquitetura, porque as empresas sabem que é exatamente o que usuários mal-intencionados estão fazendo. Infelizmente, o conhecimento necessário para executar a tarefa de um profissional verificador da penetração continua a crescer. Para aqueles que estão entrando no campo, há muito


de recuperar o atraso que precisa ser feito. Este livro é um ponto de partida -apenas certifique-se para fazer todos os exercícios ao longo do caminho. Para aqueles que têm sido no campo de um tempo, você vai concordar que quanto mais aprendemos, menos sabemos, e que há sempre algo que não sabemos bem o suficiente. Olhamos para os ataques de banco de dados, Web ataques, ataques a aplicações, práticas de codificação, estouro de buffer e muito mais. Nós só tocou a superfície do que é exigido em todas as circunstâncias possíveis. Para aqueles indivíduos que querem evitar ter de estar sempre aprendendo, o campo é pentest provavelmente uma escolha terrível. Para aqueles que querem seguir a carreira de penetração testes, eles vão encontrá-lo divertido e um desafio constante.

As soluções da FAST TRACK Exploit Códigos -Encontrar e executando ■

Certifique-se de rever e compreender todas as partes de qualquer exploits antes de usá-los.

■

Use sempre um mínimo de duas ferramentas para verificar qualquer achado. Ferramentas automatizadas pode economizar tempo, mas os resultados precisam ser verificados quanto à precisão. Use a ferramenta necessária para o trabalho -não deixe o dinheiro ser um problema.

■ ■

Exploit Códigos -Criando o seu próprio ■

Criação de códigos de exploração é extremamente caro em um projeto e só deve ser feita se houver motivo razoável para fazê-lo.

■

Revisões de código pode ajudar a identificar vulnerabilidades, mas grandes quantidades de código pode ser esmagador dentro do contexto de um teste de penetração. Revisões de código deve ser freqüentemente projetos completamente diferentes.

Hacking Web ■

Compreensão comandos de banco de dados é necessária para conduzir ataques SQL.

■

Compreender linguagens de script é necessário para conduzir ataques XSS.

■

Diferentes bases de dados de back-end use sintaxe diferente -cordas artesanais SQL para corresponder. Aplicações web também são vulneráveis -não apenas lugares que permitem a entrada do usuário.

■


Devido ao risco aumentado em falhas do sistema, um plano de comunicação forte é essencial.

■

Aumento do escopo é um problema nesta fase do projeto -se necessário, identificar áreas que devem ser investigadas em futuros projetos e seguir em frente.



O que é uma boa fonte para encontrar exploits utilizável?

A:

Este capítulo mencionado www.milw0rm.org como um repositório de numerosas exploits e geralmente é um excelente ponto de partida. O quadro também Metasploit contém muitos exploits também. Quando essas duas fontes não tem o que você precisa, começar a olhar ao redor da Internet. Muitos especialistas em segurança têm postado exploits em seu site pessoal.

Q: A:

A exploram eu baixei não funciona -o que eu faço? Muitas vezes, um exploit foi escrito para um sistema operacional específico e da linguagem pack. Diferentes sistemas muitas vezes requerem diferentes métodos de exploração vulnerabilidades. As chances são as obras explorar, mas precisa ser reescrito para função da versão do alvo do sistema operacional.

Q:

Qual é a melhor forma de evitar aumento do escopo desta seção da penetraçãoção de teste?

A:

Para compreender a totalidade da ameaça de segurança em uma rede ou sistema é quase impossível, então não será quase sempre algo de novo para prosseguir. Com base no feedback do engenheiro, uma vulnerabilidade recém-descoberta pode não produzir resultados suficientes para prosseguir. No entanto, a vulnerabilidade ainda deve ser mencionadas no relatório final e examinadas em um teste de penetração futuro. A bem definidos escopo no início do projeto vai ajudar o projeto gerente sabe quando o âmbito foi cruzado e controles precisam ser implementadas para conter o projeto de expansão.

Q:

Que ferramentas de aprendizagem adicionais que você sugere para melhor aprender Web engenharia, hacking reversa, difusão e assim por diante?

A:

Existem muitos sites dedicados a estes temas e pode fornecer uma boa compreensão das técnicas necessárias para realizar um teste de penetração. No entanto, esses tópicos são avançados, e aprender no seu próprio país tem um muito tempo. Para testadores de penetração profissional, incentivamos que eles frequentar cursos de formação profissional e adquirir os livros mais recentes disponíveis sobre os temas. Cursos de formação qualificados e reconhecidos pela indústria livros são uma maneira mais rápida para obter as informações, e neste momento a indústria está Definitivamente dinheiro.



EXERCÍCIO 11,1 Exploits encontrar e executando Encontrado na Internet 1.

Localizar um Debian OpenSSH / Pacote OpenSSL Random Number Generator Fraqueza explorar em www.milw0rm.org.

2.

Executar o exploit na sua pentest Lab contra o servidor pWnOS em uma VM.

3.

Identificar e explicar as eventuais diferenças entre o exemplo no livro e suas próprias experiências.

EXERCÍCIO 11,2 Usando ferramentas automatizadas 1.

Obter e instalar a última versão do Nessus, de Segurança de Rede sustentável.

2.

Realizar uma varredura contra o servidor pWnOS na sua pentest Lab. Identificar e explicar quaisquer diferenças entre o exemplo no livro e suas próprias experiências.

3.

Realizar um scan Nessus contra o De-ICE 1,100 LiveCD na sua pentest Lab. Anotar os resultados. Pesquisa a existência de qualquer vulnerabilidade na Internet.

EXERCÍCIO 11,3 Use uma ferramenta Fuzzing 1.

2.

Localizar a ferramenta no seu Jbrofuzz BackTrack LiveCD. Jbrofuzz alvo contra o servidor pWnOS e executar uma varredura no diretório. Anotar todos os diretórios encontrados. Identificar e explicar as diferenças entre os diretórios encontrados na Nessus scan do Exercício 11.2 e da verificação Jbrofuzz. Jbrofuzz alvo contra o LiveCD Hackerdemia. Identificar os diretórios descoberto por Jbrofuzz.

EXERCÍCIO 11,4 Injeções de SQL 1.

Pesquisa na Internet e identificar todos os comandos possíveis dentro do SQL. Encontrar exemplos de comandos SQL e explicar como eles funcionam.

2.

Usando WebGoat, completa como muitos dos exercícios listados em "Injeção Falhas "(como visto na Figura 11.45) quanto possível.


EXERCÍCIO 11,5 Ataques XSS 1.

Pesquisa na Internet e identificar ataques XSS possível. Encontrar exemplos de XSS ataques e explicar como eles funcionam.

2.

Usando WebGoat, completa como muitos dos exercícios listados em "Cross Local Scripting (XSS) "(como visto na Figura 11,46) quanto possível.

Referências Mertvago, P. (1995). O dicionário Russo-Inglês comparativa de provérbios russos e provérbios. New York: Livros Hippocrene. NIST. (2007). Guia para garantir serviços web SP800-95. Obtido em http://csrc.nist.gov/ publications/nistpubs/800-95/SP800-95.pdf

CAPÍTULO

Comprometer um sistema e elevação de privilégios

12

SOLUÇÕES NESTE CAPÍTULO Enumeração sistema ................................................ ................................ Packet Sniffing rede ............................................... ............................. Engenharia Social ................................................ ................................... Ataques sem fio ................................................ ...................................... Project Management ................................................ ................................

341 348 354 356 364

INTRODUÇÃO Один волк гоняет овец полк. -Provérbio russo: "Um lobo pode rout um rebanho inteiro. " (Mertvago, 1995)

A Information System Security Assessment Framework (ISSAF) dedica apenas uma vez e meia páginas para comprometer um sistema de privilégios e elevando durante um teste de penetração. Seria natural supor porque a página tão pouco espaço é dedicado a esta fase de um pentest, pode ser sem importância ou simples realizar -isso não poderia estar mais longe da verdade. Uma vez que a vulnerabilidade do sistema tem foram identificados e explorados, o testador penetração normalmente tem uma posição pequena no sistema e somente com privilégios mínimos. Embora o acesso pode ser limitado suficiente para justificar a conclusão do pentest projeto, o objetivo primário de o projeto deve ser o compromisso total do alvo. O desafio que o endereço nesta seção é como ir de penetração mínima de compromisso total de um do sistema. O ISSAF descreve o processo de "Ganhando acesso e elevação de privilégios " dentro de um pentest como contendo quatro etapas possíveis. Essas etapas não pode estar em ordem ou mesmo necessário. Eles são os seguintes: ■

Ganho de privilégios mínimos

■

Ganho Privilege Intermediate


340

■

Compromisso

■

Final de compromisso

No capítulo 11, nós fomos capazes de ganhar pelo privilégio e realizada compromessas. Usando o disco de pWnOS como um alvo, fomos capazes de download do sistema arquivos (incluindo arquivos do sistema shadow, que contém as senhas criptografadas de todos os usuários do sistema) e obter um shell remoto com os privilégios de uma normal usuário (obama). Neste capítulo, discutiremos o que fazer a seguir, uma vez que estes tipos de compromissos foram alcançados em um projeto profissional teste de penetração. Embora a crença de que dado tempo suficiente qualquer sistema pode ser comprometida é uma suposição lógica, o tempo é um bem precioso durante um profissional teste de penetração. É possível que um sistema é deixado sem compromissos no conclusão de um pentest -é simplesmente demasiado caro para encontrar todos os métodos de exploração de um do sistema. Continuaremos nossos exemplos teste de penetração neste capítulo e ser capaz para obter acesso root, mas em testes de penetração do mundo real, não será sempre como bem sucedida. Cabe ao gerente de projeto para saber quando as metas foram alcançadas e o projeto deve ser embrulhado. As ferramentas utilizadas para obter privilégios adicionais no sistema não são bem definido, tornando muito mais difícil saber o que fazer contra um sistema de destino. Até agora, as opções de ferramentas têm sido bastante óbvio coleta de informações utiliza a Internet, a identificação da vulnerabilidade usa a porta scanners, e verificação vulnerabilidade utiliza scripts explorar (se eles são lançado manualmente ou a partir de uma aplicação). Escalação de privilégios é simplesmente muito ampla de uma tarefa, pois a obtenção de acesso root pode ser alcançado usando qualquer número de abordagens. Uma tática para elevar privilégios envolve procurando por vulnerabilidades adicionais no sistema a partir de uma perspectiva interna. Se obtivermos qualquer acesso a um sistema, mesmo que o acesso foi limitado a autorização, poderemos ser capazes de explorar a vulnerabilidade ao habilidades que são acessíveis apenas como um usuário conectado. Defesas externas são frequentemente mais forte do que controles internos. Se podemos ganhar qualquer acesso ao sistema, mesmo em um nível reduzido de privilégios, que pode ser capaz de comprometer o sistema de o interior. Outra tática para obter privilégios elevados é ouvir na rede para a sensível dados, incluindo nomes de usuários e senhas. Se podemos ouvir todo o tráfego dentro e fora do sistema de destino, que pode ser capaz de pegar um pedaço de dados que nos permitirão acessar o sistema de privilégios mais altos (como uma senha administrativa). Uma tática muito eficaz que pode ganhar privilégios elevados é a engenharia social. Ele pode ser mais rápido e mais fácil de simplesmente pedir a um funcionário de help desk para conceder acesso à sistema alvo do que a correr através de scripts explorar numerosos. Há outras questões sociais táticas de engenharia que pode ser usado para superar as defesas de rede, incluindo o utilização de anexos de email, ombro surf, o acesso físico ao servidor, e dumpster diving. Até agora, não incluímos os ataques sem fio em nosso teste de penetração. Nós vai olhar para os ataques sem fio neste capítulo. Existem técnicas que podem capturar

Enumeração sistema 341

tráfego sem fio e usar esses dados capturados para obter acesso não autorizado ao rede, mesmo se a criptografia de dados sem fio é usado.

ENUMERAÇÃO SISTEMA Se obter acesso ao sistema através de um exploit, poderemos ser capazes de usar que o acesso a recolher informações sigilosas, como dados financeiros, a configuração informações, registros pessoais, corporativos ou documentos classificados. Se nós podemos ter acesso informações sigilosas, que poderá ser suficiente para considerar o teste de penetração como um o sucesso. Há apenas uma coisa melhor do que a obtenção de dados confidenciais em um projeto pentest obter acesso administrativo ao sistema. Tendo um usuário não autorizado obter privilégios de administrador em um servidor crítico é um pesadelo para a maioria dos sistema administradores -e uma medalha de honra para a maioria dos engenheiros de teste de penetração. Uma vez que obter acesso a um sistema através de um exploit, podemos pesquisar para aplicações internas que podem ter vulnerabilidades exploráveis. Os exploits nos conceda elevada privilégios, incluindo o controle administrativo.

Vulnerabilidades internas No capítulo 11, nós caminhamos através de um explorar a vulnerabilidade contra o servidor pWnOS usando CORE IMPACT. Nesse exploit, obtivemos acesso remoto ao shell visando o usuário obama. Exercício 11.1 recriado o exemplo usando um script exploit encontrado na www.milw0rm.org, o acesso novamente para a obtenção de sistema como o usuário obama sem a necessidade de autenticação. Uma vez que temos acesso ao sistema, podemos começar a olhar para internos vulnerabilidades. Voltando ao disco pWnOS, a Figura 12.1 mostra a nossa conta shell obtidos utilizando CORE IMPACT.

Figura 12.1 Shell em pWnOS

342

Figura 12.2 Exploits locais em CORE IMPACT

A partir das informações já coletadas e da uname -uma saída -nós pode começar a procurar por exploits para o lançamento, como o usuário obama. Na Figura 12.2, podemos ver uma lista abreviada de exploits locais disponíveis no impacto. O cinza-destaque façanhas são aqueles que podem trabalhar contra o nosso sistema de destino, com base em informações coletadas anteriormente, tais como sistema operacional e distro. Se permitirmos que a IMPACT automaticamente o nosso sistema de ataque, seria tentar todas as façanhas destaque e criar agentes se as façanhas de trabalho. Por razões de brevidade, vamos executar apenas através de um desses exploits -o Linux Vmsplice kernel () Exploit escalação de privilégios. Antes de podermos começar, precisamos


criar impacto para lançar o ataque a partir de nosso agente local sobre o alvo do sistema. Figura 12.3 mostra as opções disponíveis para nós através do agente. Uma vez nós selecionamos Definir como Fonte, todas as outras ataques serão executados através do agente em vez do sistema de ataque contendo IMPACT. Uma vez que tentamos lançar o Vmsplice () exploit contra o nosso destino usando o agente local como fonte, recebemos notificação de que a nossa exploração pode falhar o sistema de destino, como visto na Figura 12.4. Se este fosse um sistema de produção sensíveis temperatura, que provavelmente teria de interromper a ataque. Se continuar com o nosso ataque, nós são informados de que um novo agente foi implantado com sucesso em nossa meta sistema, como visto na Figura 12.5. Figura 12.6 mostra-nos que agora têm dois agentes implantado em nosso alvo, com o agente (1) sendo o mais novo além.Figura 12.3 Podemos lançar uma shell no agente (1) Definir o agente local como fonte para ataques

usando um menu drop-down, como visto na Figura 12.7. Vários tipos de conchas estão disponíveis -embora, vamos utilizar um padrão shell para ver o que temos privilégios, é importante notar que também poderíamos implantar um Shell Python no sistema, que permitiria executar Python código. Isso é útil quando estamos explorando um sistema host que não tem Linguagem de programação Python ou outros instalado. Figura 12.8 é um screenshot do novo shell instalados na memória no pWnOS servidor. Quando corremos o whoami comando no prompt do shell, vemos que o sistema acredita que estamos raiz. Agora temos controle total sobre o sistema. Se não estivéssemos usando CORE IMPACT, poderíamos visitar http://milw0rm.org para ver que explora estão disponíveis. Figura 12.9 é o resultado de buscas para o Linux kernel 2.6.x exploits disponíveis no site. Do nosso shell de root na Figura 12.8, vemos que o Linux versão do kernel é 2.6.22.14. Olhando para a lista de exploits, há uma datado 2008/02/09 para kernels Linux 2.6.17 e 2.6.24.1 entre, o que poderia funcionar contra o pWnOS. Acontece que ele também tem como alvo a vulnerabilidade Vmsplice, semelhante ao nosso exemplo anterior usando CORE IMPACT. Para usar esta façanha, seriam necessários para carregar o script no sistema de destino e executá-lo localmente. Se o exploit foi bem-sucedida, nossos privilégios seria elevado para raiz, como visto no exemplo usando IMPACT.

344

Figura 12.4 Exploit Aviso

Figura 12.5 Saída do módulo de Linux Kernel Vmsplice Ataque


Figura 12.6 Lista de agentes CORE IMPACT na pWnOS Server

Figura 12.7 Lançamento de um agente Shell remoto usando (1)

346

Figura 12.8 Shell raiz no pWnOS

Figura 12.9 Resultados da Pesquisa na http://milw0rm.org

Ferramentas e Armadilhas ... Exploits comercial

Embora façanhas comerciais e não comerciais podem alcançar o mesmo resultado, como seria no nosso exemplo, qualquer explorar obtida através da Internet tem riscos para além da exploração de um sistema de destino. Explora um sistema pode falhar, exigindo uma compreensão detalhada do que causou a falha do sistema. Se uma ferramenta comercial é usado, suporte ao cliente pode ser apenas uma telefonema de distância. Outro fator para decidir qual ataque usar é que explora comercial foram testados muito mais profundamente do que os encontrados na internet, aumentando a confiabilidade eo sucesso do exploit.


Explorando vulnerabilidades interna é um método eficaz de elevar privilégios em um sistema alvo, mas só é possível se o acesso local é obtido em primeiro lugar. Como mencionado anteriormente, pode ser mais fácil de explorar os aplicativos internos do que é a obtenção de local acesso, porque os sistemas são normalmente protegidos contra ataques externos e raramente endurecido contra ataques internos.

Dados sensíveis No ambiente corporativo de hoje, os dados vale mais do que os sistemas que armazenam os dados. Nós não podemos sempre obter permissões administrativas em um sistema, mas poderemos ser capazes de reunir informações sensíveis que não devem estar disponíveis para usuários não autorizados. Figura 12.10 mostra os resultados da nossa exploração Webmin do Capítulo 11. Nós baixado com êxito o / Etc / shadow arquivo, que continha sistema pelo usuário nomes e senhas criptografadas. Poderíamos usar o arquivo shadow para tentar quebrar o senhas usando um programa como o John the Ripper, se houver logins com sucesso

FIGURA 12,10 Webmin Exploit

348

descobertos, poderíamos entrar em nosso sistema alvo e ver se havia elevado privilégios. Embora a informação nome de usuário e senha definitivamente cai na categoria de informações confidenciais, é importante entender o propósito por trás do servidor antes que possamos saber que tipo de informação sensível que deve estar olhando para. Servidores do banco provavelmente terá informações de clientes de conta, cartão de crédito servidores de processamento, provavelmente, terá de dados de cartões de crédito e informações de compra, e servidores do governo, provavelmente, ter informações sobre UFOs e antigravidade dispositivos. Uma vez que o acesso foi obtido, testadores de penetração deve olhar para os dados relevantes para o propósito por trás do servidor. Existem alguns comandos diferentes que podemos usar para encontrar dados úteis, incluindo o encontrar comando para procurar por arquivos de configuração ou história. Uma vez que temos acesso a um prompt de comando, nós precisamos ter um pouco de tempo e realmente explorar o servidor de dados úteis.

PACOTE DE REDE SNIFFING No capítulo 10, nós brevemente sobre o conceito de Address Resolution Protocol (ARP) envenenamento quando falamos sobre fingerprinting passiva do sistema operacional. Se temos acesso à rede switch, podemos realizar um ataque de envenenamento de ARP, mas desta vez, vamos utilizar um programa projetado para Man in the (MITM) ataques Médio. Figura 12.11 mostra um diagrama de rede que ilustra como iremos realizar a Ataque MITM. Ettercap pode gerar um ataque de spoofing ARP visando especificamente o disco 192.168.1.100. O ARP ataque falso irá substituir a nossa tabela vítima ARP de modo que as rotas vítima todo o tráfego através do sistema BackTrack, independentemente da destino final. Figura 12.12 é o menu de ajuda para ettercap. A seção do menu que estamos mais interessa é o "Sniffing e opções de ataque. "Porque só temos uma Ethernet conexão no nosso servidor BackTrack, não podemos conduzir um ataque ponte. Nós também queremos capturar todo o tráfego que atravessam o sistema, então nós não queremos para selecionar o -O opção para o nosso exemplo. Nós poderíamos limitar ettercap apenas sniff o tráfego em uma porto particular, tais como o tráfego da Web na porta 80 usando o -T opção. No entanto, há há necessidade de limitar-nos -podemos também capturar todo o tráfego na esperança de que pode obter dados confidenciais. Para começar, vamos querer escolher o -M opção para o nosso ataque. No entanto, o informações de ajuda não nos fornece qualquer entendimento do que adicionais opções são possíveis. O seguinte texto é um trecho da página de manual para ettercap:

-M, - mitm

MITM ataque: Esta opção irá ativar o ataque MITM. O ataque MITM é totalmente independente da sniffing. O objetivo do ataque é a adulteração pacotes e redirecioná-los para ettercap. O sniffing motor irá encaminhá-las se necessário.

Packet Sniffing rede 349

VM Player

Roteador sem fio

AR P re sp dir ooec f t

BackTrack usar ettercap

VM Player

192.168.1.100 conectar-se Webmin em pWnOS servidor

foo sp tP rec Edi AR r

VM Player

pWnOS

FIGURA 12,11 Diagrama de Rede Utilizar o ARP Spoofing Attack

Você pode escolher o ataque MITM que você preferir e também combinar alguns deles para realizar ataques diferentes ao mesmo tempo. Se um método MITM requer alguns parâmetros, você pode especificá-los após os dois pontos (por exemplo, dhcp-M: ip_pool, máscara de rede, etc). Os ataques MITM a seguir estão disponíveis: arp ([controle remoto], [oneway])

Este método implementa o ARP ataque MITM envenenamento. Requisições ARP / as respostas são enviadas para as vítimas de seu veneno cache ARP. Uma vez que o cache tem sido envenenado, as vítimas irá enviar todos os pacotes para o atacante que, por sua vez, pode modificar e encaminhá-los para o destino real. No modo silencioso (opção-z), apenas o primeiro alvo é selecionado, se você quiser veneno múltiplos alvos em silêncio modo, use a opção-j para carregar uma lista de um arquivo. Você pode selecionar alvos vazia, e eles vão ser expandido como "ANY" (Todos os hosts na LAN). A lista é alvo juntou-se com a lista de hosts (criado pelo arp scan), eo resultado é usado para determinar as vítimas do ataque. O parâmetro "Remoto" é opcional, e você tem que especificá-lo se você quiser capturar envenenamento endereço remoto IP de um gateway. De fato, se você especificar uma vítima eo GW, no METAS, ettercap vai farejar única ligação entre eles, mas para habilitar ettercap para farejar as conexões que passar através da GW, você tem que usar este parâmetro. O parâmetro "Oneway"

350

FIGURA 12,12 Ettercap Menu Ajuda

forçará ettercap apenas para envenenar a partir TARGET1 para o TARGET2. Útil se você quiser veneno apenas o cliente e não o roteador (onde um observador arp pode ser em lugar). Exemplo: os alvos são / 10.0.0.15 / / 10.0.0.1520 / ea lista de host é 10.0.0.1 10.0.0.3 10.0.0.16 10.0.0.18; as associações entre as vítimas serão 1 e 16, 1 e 18, 3 e 16, 3 e 18 se as metas sobrepõem uns aos outros, o associação com idêntico endereço IP será ignorado. NOTA: se você conseguir envenenar um cliente, você tem que definir tabela de roteamento correto no kernel especificando o GW. Se a sua tabela de roteamento é incorreta, os clientes envenenado não será capaz de navegar na Internet.


Com base na informação da página o homem sobre a opção de ataque MITM, podemos selecionar um método de controle remoto ou uma forma de envenenamento ARP. A opção de controle remoto permite-nos para farejar o tráfego que sai da rede de área local por meio de um gateway. O one-way opção permite controlar um pouco mais dentro de uma rede; selecionando a opção de mão única irá restringir o envenenamento ARP originários do primeiro alvo, o que para nós será o sistema da vítima (192.168.1.100). Se houver controles de detecção ARP manipulação em lugar, falsificação ARP router o gateway pode ser detectado, e alarmes enviados para segurança os administradores de rede. AVISO Uma nota nas páginas homem adverte sobre tabelas de roteamento dentro do sistema de ataque. Se o sistema de ataque não tem o gateway padrão configurado, todo o tráfego destinado a deixar a rede vai deixar de fazê-lo, aumentando a possibilidade de detecção. Também é possível criar um ataque de negação de serviço (DoS) se os ataques MITM não estão configurados corretamente.

Figura 12.13 é um screenshot do ettercap conduzir um ataque contra o ARP De-ICE disco 1,100. Podemos lançar este ataque usando o seguinte comando: ettercap -M arp: oneway / 192.168.1.100 /. Com base nas informações já

FIGURA 12,13 ARP Poisoning Attack Usando Ettercap

352

discutido, sabemos que este comando irá realizar o envenenamento ARP contra o nosso vítima (e apenas a nossa vítima). Porque não incluir um segundo alvo no comando, toda a comunicação e deixando entrar a nossa vítima será retransmitida através do nosso host ataque, independentemente do Protocolo Internet destino (IP) endereço. Se quiséssemos apenas a captura de dados entre a nossa vítima eo pWnOS servidor, podemos adicionar o endereço IP adicional no final da execução comando: ettercap -M arp: oneway / 192.168.1.100 / / 192.168.1.118 / Como podemos ver na Figura 12.13, ettercap estados, é o envenenamento da tabela ARP do 192.168.1.100 e está capturando o tráfego na porta Ethernet eth0. Isto começa a nossa ataque. Se passar para o computador da vítima e tentar fazer logon no portal Webmin no servidor pWnOS, somos apresentados com a tela mostrada na Figura 12.14. Uma vez que inserir um nome de usuário e senha, a nossa vítima irá enviar as informações de login para o servidor pWnOS, que iremos então interceptar. Figura 12.15 é um screenshot do informações de login capturado no sistema BackTrack. Neste ponto da penetração

FIGURA 12,14 Webmin Portal Page Login


FIGURA 12,15 Tráfego capturado

teste, temos um nome de usuário e senha que deveriam nos dar acesso ao alvo -se as permissões associadas com o username capturados são aqueles de um sistema administrador, que poderíamos acessar o sistemperatura com privilégios elevados.

TIP Ettercap também pode ser usada para farejar o tráfego que é enviado através de canais encriptados, incluindo tanto o Shell Seguro (SSH) e Secure Sockets Layer (SSL).

Apesar do fato de que interceptou o nome de usuário e senha, a vítima não irá sabe alguma coisa está errada. Se o login estiver correto, os dados continuarão a passar para trás e por diante entre o sistema da vítima e do servidor pWnOS irrestrito. Enquanto o nosso Corre ataque MITM, vamos continuar a interceptar o tráfego. Há muitos outros métodos em que os dados da rede podem ser capturados; exploits que pode ser usado para obter as credenciais de login durante um teste de penetração profissional incluem os seguintes: ■ Domain Name System (DNS) envenenamento de cache Permite que um atacante para substituir dados da vítima pedido com dados maliciosos. Um exemplo de um exploit usando Envenenamento de cache DNS é pharming. ■ Falsificação de DNS Esta técnica é um ataque de temporização, onde uma consulta DNS falsos resposta é retornada a um sistema antes que a resposta válida consulta DNS retornos. Um exemplo de um exploit usando falsificação DNS também inclui pharming. ■ Interface de usuário (UI) corrigir Permite que um usuário malicioso para substituir um válido link em um site com um link malicioso, usando linguagens de scripting Web page, tais como JavaScript. Clickjacking é outro termo para corrigir UI. ■

Border Gateway Protocol (BGP) hijacking Este ataque envolve a obtenção de Endereços IP, explorando BGP comunicação broadcast e injetando roteamento de dados inválidos. IP hijacking é outro termo para este ataque, que é usado para spam ou ataques distribuídos de negação de serviço (DDoS).

■

Port Stealing Camada de ataque 2, que redireciona o tráfego da porta do switch para o ataque sistema por falsificação da vítima endereço Media Access Control (MAC), assim sobrescrever tabelas ARP na rede. Isto permite que o sistema de ataque para interceptar qualquer comunicação retornando destinados à vítima. Isto pode ser usado como um ataque DoS ou usado para interceptar o tráfego.

■

Dynamic Host Configuration Protocol spoofing (DHCP) Um ataque a um Servidor DHCP, que obtém os endereços IP usando DHCP mensagens falsificadas. Ele é usado para empurrar um sistema válido fora da rede por falsificação da vítima DHCP locação de comunicação. Spoofing DHCP é útil na realização de um ataque DoS.

354

■

Internet Control Message Protocol (ICMP) redirecionamento Este ataque envia ICMP redireciona para um sistema da vítima, informando o sistema que mais curto patch rede existe. Este ataque permite que os sistemas de ataque para interceptar e tráfego para a frente como um ataque MITM.

■

MITM Um método de interceptar o tráfego entre dois sistemas de afinação dados, que podem ser dados em texto puro ou criptografados.

A capacidade de interceptar ou passivamente coletar dados em uma rede fornece a verificador da penetração profissionais um meio de obter as credenciais de login ou outros sensíveis dados, que pode ser usado para acessar o sistema de destino com privilégios elevados.

ENGENHARIA SOCIAL De acordo com o ISSAF, engenharia social pode ser dividido nas seguintes ataques (Open Information Systems Security Group, 2006): ■

Ombro surf: Assistir a um usuário autorizado o acesso ao sistema e obtenção de suas credenciais como ele ou ela entra-las no sistema

■

Acesso físico a estações de trabalho: Permitir o acesso físico a um sistema dá penetração testadores uma oportunidade para instalar código malicioso, incluindo acesso backdoor

■

Mascarado como um usuário: entrar em contato com help desk fingindo ser um usuário, informações de acesso requerente ou privilégios elevados

■

Aparece como uma equipe de monitoramento: Solicitando acesso a um sistema de fingindo ser um auditor ou a segurança pessoal

■

Dumpster diving: recipientes de lixo Procurando impressões computador que conter informações confidenciais

■

Informações de manipulação (encontrar) sensíveis: Finding sensíveis inseguros documentos deitado sobre mesas ou tabelas

■

Armazenamento de senha: Procurando por escrito-down senhas armazenadas perto do computador

■

Engenharia social inversa: Fingir ser alguém em uma posição de poder (Como um funcionário de help desk) que podem ajudar uma vítima de resolver um problema enquanto a obtenção de informações confidenciais da vítima

Apesar de todas essas táticas são válidas, o método para realizar esses ataques é bastante variada. A história nos ensinou que os ataques de engenharia social são extremamente eficazes na obtenção de acesso não autorizado a informações confidenciais. Uma vantagem social engenharia tem mais de ataques de rede é que as pessoas muitas vezes querem ser úteis e fornecerá informações simplesmente porque é solicitado. Programas de treinamento projetados para frustrar ataques de engenharia social no ambiente corporativo são

Engenharia Social 355

eficazes, no entanto, ataques de engenharia social estão se tornando mais complexos e sucesso em enganar vítimas em conformidade. Métodos adicionais de social engenharia não discutido na ISSAF são baiting, phishing e pretexto.

Baiting Ataque Baiting usa a mídia de computador para seduzir a vítima a instalar malware. Um exemplo deste tipo de ataque seria para deixar um disco CD-ROM em um lugar público. Ataques Baiting contar com a curiosidade humana natural quando se apresenta com um desconhecido. O melhor cenário para o atacante usando a técnica de iscagem seria para um empregado de uma empresa-alvo para manter o "Abandonados" mídia computador e uso em um sistema corporativo (como o computador do trabalho do empregado). Os meios de comunicação de computador usado em um ataque baiting muitas vezes inclui malware, especialmente Cavalos de tróia, que irá criar uma backdoor no computador da vítima. O cavalo de Tróia cavalo irá se conectar ao sistema do atacante, fornecendo acesso remoto para o rede corporativa. De lá, o atacante pode prosseguir com a enumeração dos explorados servidores do sistema e rede.

Phishing Ataques de phishing são frequentemente associados com falsos e-mails, que solicitem um usuário conectar a um site ilegítimo. Estes sites falsos, muitas vezes imitam uma página da Web de banco, um site de leilões online, um site social, ou conta de e-mail online. O site falso pode parecem idênticos ao site é imitar, na esperança de que a vítima acredita que o site para ser legítimo e digitar informações sensíveis, tais como um número de conta, login e senha. AVISO Ao realizar um ataque de phishing contra funcionários de empresas, certifique-se que todas as os dados inseridos no site falso está devidamente seguro. Um compromisso do site phishing poderia resultar em dados sensíveis sendo liberados na natureza.

Alguns ataques de phishing vítimas-alvo através do telefone. Vítimas recebam um texto mensagem em seu telefone, ou uma chamada direta, pedindo que contactar o seu banco por telefone. Uma vez que a vítima liga para o número oferecida, eles são solicitados a fornecer informações de conta e números de identificação pessoal, permitindo ao invasor masquerade como a vítima. Informações de cartão de crédito também pode ser solicitado pelo atacante, que lhes permitiria gerar cartões de crédito falsos que retirar fundos da conta da vítima.

Pretexting Pretexting é um método de inventar um cenário para convencer as vítimas a divulgar informações que eles não devem divulgar. Pretexting é muitas vezes usado contra as corporações

356

que retêm os dados do cliente, tais como bancos, empresas de cartão de crédito, serviços públicos, e os indústria de transporte. Pretexters irá solicitar informações das empresas por representando o cliente, geralmente por telefone. Pretexting se aproveita de uma fraqueza em técnicas de identificação utilizado em transações de voz. Porque a identificação física é impossível, as empresas deve usar métodos alternativos de identificação de seus clientes. Muitas vezes, essas alternativas métodos envolvem verificação pedido de informações pessoais, tais como data de residência, de nascimento, nome de solteira da mãe, ou número de conta. Tudo isso informações podem ser obtidas pelo pretexter, seja através de sites de relacionamento social ou através de mergulho dumpster.

ATAQUES WIRELESS Se uma empresa tem uma rede sem fio para seus funcionários, infiltrando-se na rede dará o acesso testador profissional de penetração de sistemas adicionais e dispositivos de rede. Apesar de muitas notícias foi gerada sobre o risco de incluindo acesso sem fio para redes corporativas, utilizando uma rede wireless é muito mais barato do que adquirir e instalar equipamentos de rede com fio. Mesmo que uma rede sem fio é uma alternativa barata para redes cabeadas, falta de medidas adequadas de segurança pode ser caro para uma empresa. Se um usuário malintencionado capaz de acessar a "Protegido" compromissos rede perda de dados e sistema são a certeza de seguir. Da perspectiva de um verificador da penetração profissional, redes sem fio são principais alvos para o ataque porque as redes wireless são freqüentemente menos protegidos do que com fio redes. Mesmo que uma empresa faz os pontos de acesso seguro (como firewalls colocação e sistemas de detecção de intrusão entre o ponto de acesso e sistemas internos), empregados são notórias para a instalação de pontos de acesso não autorizado na rede, contornar todos os esforços pelos engenheiros de segurança de rede para proteger os ativos da empresa. Nesta seção, iremos realizar ataques sem fio, para elevar privilégios dentro de uma rede de destino. Se bem sucedido, devemos ser capazes de repetir os passos nos capítulos 9 a 11 para identificar e verificar vulnerabilidades em sistemas internos da empresa. NOTA Repetindo os exemplos ataque sem fio na seção seguinte exigirá pelo menos dois computadores sem fio e um roteador wireless. Como os roteadores e sistemas têm diferentes configurações, apenas a configuração do nosso sistema de ataque será discutido.

Figura 12.16 é um diagrama de rede sem fio utilizado nas seguintes exemplos. Todos os ataques wireless visando os algoritmos de criptografia de dados sem fio requer uma conexão ativa entre o roteador sem fio e um autenticado do sistema. Uma exigência adicional para a realização de ataques wireless é ter um sistema de ataque que tenha um adaptador sem fio que pode ser colocado em "Monitor Modo. " Uma vez que o equipamento adequado é adquirido, podemos começar nossos ataques wireless. Os ataques discutido terá como alvo os protocolos que têm sido identificadas com

Ataques sem fio 357

Roteador sem fio

BackTrack wireless em Modo Monitor Usuário autorizado

FIGURA 12,16 Configuração de rede Wireless para ataques

vulnerabilidades. É possível aumentar a proteção em uma rede sem fio exigindo métodos de criptografia adicionais, tais como redes privadas virtuais (VPN), fazendo hacking criptografia sem fio sem sentido. Para nossas manifestações, vamos supor que nenhuma criptografia adicional é usado além do que é discutido aqui.

Wi-Fi Protected Access Attack Wi-Fi Protected Access (WPA) é considerado um forte modo de autenticação de Wired Equivalent Privacy (WEP). Estranhamente, WPA é mais rápido do que o crack forma mais fraca de criptografia sem fio -WEP. WPA de criptografia é tão forte como a senha WPA -se o ponto de acesso usa uma senha fraca, a verificador da penetração pode quebrá-lo usando um ataque de dicionário simples. Para demonstrar como isto é feito, primeiro precisamos de começar por configurar o nosso sistema de ataque para monitor todo o tráfego sem fio. Figura 12,17 é um script de inicialização que irá criar uma rede sem fio virtual conexão que é colocado em modo monitor. Depois que executar o script usando o comando ./ath1_prom começar, podemos verificar para ver se o dispositivo de escuta está configurado corretamente, emitindo o iwconfig comando. Se nós olhada na Figura 12,18, podemos ver que o dispositivo de escuta ath1 está definido para Mode: Monitor. Neste ponto, podemos começar a cheirar as ondas de rádio para comunicação sem fio.

358

FIGURA 12,17 Script Wireless para estabelecer e Local ATH1 em Modo Monitor

FIGURA 12,18 ATH1 em Modo Monitor

Ataques sem fio 359

Há muitas maneiras de ver o que os pontos de acesso nas proximidades, incluindo o uso da airodump-ng ferramenta. A informação crítica para a obtenção de qualquer scan para wireless pontos de acesso inclui o seguinte: ■

Basic Service Set Identifier (BSSID): Este é o endereço MAC para o wireless ponto de acesso.

■

Extended Service Set Identifier (SSID): Este é o nome do wireless rede.

■

Endereços de estação (cliente) MAC: Em alguns casos, pode ser necessário para atacar o cliente, como em ataques deauthentication.

NOTA Como uma nota interessante, eu tentei tirar um screenshot da airodump-ng ferramenta identificando apenas o meu laboratório ponto de acesso wireless. O problema que eu tive é que o acesso sem fio pontos estão em toda parte. Mesmo mudando meu ponto de acesso a um geograficamente díspares localização, eu não poderia encontrar em qualquer lugar que não têm numerosos oferecendo roteadores sem fio conexões. Decidi não incluir um screenshot porque eu não sinto isso éticos para enviar uma screenshot do ponto de acesso de outras pessoas em casa (alguns dos nomes para os pontos de acesso são bem-humorado, e outros são profanos). Parece que no ambiente de hoje, sem fio tornar-se generalizada e é difícil de evitar.

Uma vez que decidir sobre um alvo, podemos iniciar a captura de dados. Figura é 12,19 o comando que irá utilizar para iniciar a captura de pacotes, o comando irá procurar apenas os pontos de acesso de transmissão no canal 8, que tem um BSSID de 00:01 A: 70:47:00:2 F. Essas configurações são específicas para o ponto de acesso do laboratório e mudar dependendo a nossa meta. Também solicitou que airodump-ng capturar todos os de dados e armazená-los na / Tmp diretório. Figura 12.20 mostra airodump-ng em andamento, recolhendo os pacotes de dados sem fio. Quando atacamos WPA, nós realmente não se preocupam com a maioria do tráfego normal entre o ponto de acesso eo sistema de autorização do usuário. Os únicos dados que estamos interessa é o aperto de mão WPA inicial entre os dois dispositivos, que autentica o sistema do usuário com o ponto de acesso. Autenticação para WPA usa chaves pré-compartilhadas, o que é ou 64 dígitos hexadecimais ou uma senha de 8-63 caracteres ASCII imprimíveis.

FIGURA 12,19 Lançamento Airodump

360

FIGURA 12,20 Airodump Notificação de WPA Capture Handshake

Para capturar o aperto de mão, temos que esperar por alguém para se conectar à ponto de acesso. Sistemas já está conectado não geram o aperto de mão que nós precisamos, e à espera de alguém para se conectar pode demorar muito. No entanto, um outro programa aireplay-ng -tem a capacidade de deauthenticate clientes conectados de um alvo ponto de acesso, exigindo que os clientes se reconectar e autenticar novamente usando o WPA aperto de mão. Em nosso laboratório de testes, vamos simplesmente conectar o nosso segundo laptop assim que sei que airodump-ng está ouvindo. Uma vez que deauthenticate o cliente conectado, airodump-ng deve ser capaz de isolar e salvar a chave criptografada pré-compartilhada. Figura 12.20 indica que um aperto de mão WPA foi realmente capturado, com base sobre o aviso prévio na extrema direita da linha superior: Handshake WPA: 00:01 A: 70:47:00:2 F. Podemos, então, usar um ataque de dicionário contra a chave criptografada. Um interessante ponto é que apenas 56 s decorrido entre o momento em que lançamos o airodump-ng ataque e quando o handshake WPA foi capturado. Na Figura 12.21, usaremos o Aircrack-ng programa para decifrar nosso capturado WPA chave criptografada. Para lançar Aircrack-ng, precisamos fornecer a localização do o arquivo de captura e um dicionário. Embora existam alguns arquivos de dicionário de BackTrack, eles não são muito úteis em ataques wireless porque incluem palavras que são pequenos demais para serem chaves WPA válida. Se desencriptação de senha é uma parcela significativa do nosso esforço teste de penetração, nós Será necessário criar nosso arquivo próprio dicionário. Se nos concentrarmos em ataques WPA, e

FIGURA 12,21 Lançamento Aircrack-ng

Ataques sem fio 361

porque sabemos que senhas tem que ser um mínimo de oito caracteres, nós pode começar a criar o nosso próprio dicionário usando apenas palavras que são, pelo menos, que tempo. Poderíamos filtro em um dicionário que já temos e criar um novo arquivo com palavras que são oito caracteres. Uma boa fonte sobre manipulação de dados de um arquivo para alcançar nossos objetivos é o livro Linux, encontrado em http://dsl.org/cookbook/ cookbook_18.html # SEC266.

Notes from the Underground ... Línguas Decidir qual linguagem para incluir em um ataque de dicionário é difícil. Embora tenha Inglês sido usada como uma linguagem comum em programação de computadores, ataques de dicionário necessidade de selecionar o idioma dos usuários autorizados. Porque as empresas podem ter funcionários de em todo o mundo ligando para os servidores internos, é cada vez mais difícil saber exatamente o que linguagens para incluir além do Inglês.

Uma desvantagem com Aircrack-ng é que ele não tem a capacidade de mutar palavras nos dicionários. Mutante é o processo de modificação de uma palavra por meio da grafias diferentes. Um exemplo de mutação usando a palavra "Hacking" podem incluir: Hacking, HACKING, h @ cking, h @ ck1ng, e até mesmo | - | @ c | <1 | \ | g. Porque Aircrack-ng não sofrer mutação wordlists, o testador deve penetração mutar palavras de antemão. Existem programas de outra senha cracking disponíveis no mercado que vai se transformar entradas de dicionário, aumentando a chance de decifrar chaves WPA. No entanto, Aircrack-ng é bastante poderoso, e wordlists contendo mutações será útil em outras aplicações também. Figura 12.22 é um screenshot de Aircrack-ng com sucesso decifrar a HeorotLab ponto de acesso WPA de chave compartilhada, que é "Complexidade" (A chave é caso sensíveis). Neste ponto, podemos nos conectar com o ponto de acesso e comece a enumerar a rede e todos os sistemas conectados. Se o ponto de acesso HeorotLab havia sido ligado a uma rede corporativa destinam para os empregados, teríamos elevado nossos privilégios dentro da rede. Mesmo embora não deveríamos ter tido acesso, podemos examinar a rede como um usuário normal. Se o WPA de chave compartilhada senha havia sido complexa, a nossa capacidade de penetrar no rede provavelmente teria tido sucesso. Para quebrar a chave WPA, temos que tenho um arquivo de dicionário que contém a exata senha. Porque a senha pode ter entre 8 e 63 caracteres ASCII, senhas podem ser muito grandes tentando incluir todas as combinações possíveis em um arquivo de palavra simplesmente não é prático. Figura 12.22 indica também que o nosso ataque decifrar foi breve -quase instantânea. O arquivo de dicionário usado para este exemplo foi muito pequena, contendo apenas algumas palavras (que é usado para demonstrar ataques wireless e não é usado em tempo real, mundo testes de penetração). No entanto, Aircrack-ng pode comparar milhares de palavras à chave capturado em questão de alguns minutos, fazendo WPA cracking muito rápido.

362

FIGURA 12,22 Aircrack sucesso Identificar chave WPA

Ataque WEP Embora nós começamos esta seção dizendo que cracking WPA é mais rápido, WEP craqueamento tem uma chance muito maior de sucesso, independentemente do tamanho da chave usada para proteger o ponto de acesso. WEP cracking envolve capturar todos os vetores de inicialização (IV) passados entre o cliente eo ponto de acesso e, em seguida, à procura de IVs que foram reutilizados em anterior pacotes wireless. IVs são blocos de bits que são usados para diferenciar os usuários da rede sem fio. IVs eliminar a necessidade para que os usuários constantemente autenticar novamente com um ponto de acesso e por isso são enviadas com freqüência. Eventualmente, um usuário autenticado irá reutilizar um IV porque o número de bits utilizado é limitado, a frequência de repetição depende a quantidade de dados é enviado através da conexão. Se IVs suficientes são capturados, é possível decifrar a chave de criptografia usando um programa, como Aircrack-ng. Figura 12.23 é um screenshot de airodump-ng IVs captura enviados para o HeorotLab ponto de acesso (que está agora configurado para autenticar usando WEP). O número de IVs capturado está listado no "# Data" coluna, o que indica que 38.882 IVs foram capturados. O número de IVs necessários para descriptografar um sucesso WEP chave pode variar. Os métodos atuais têm reduzido o número de IVs necessários para crack Chaves WEP necessária para descriptografar a chave. De acordo com um relatório sobre aircrack disponível em www.cdc.informatik.tu-darmstadt.de/aircrack-ptw/, o número total de IVs necessário para quebrar uma chave WEP é geralmente inferior a 100.000. Em redes onde o tráfego é gerado pouco, é possível criar mais de IVs a realização de ataques de repetição, usando aireplay-ng. Se capturar pacotes broadcast enviados do sistema do usuário autenticado ao ponto de acesso, podemos reenviar o

Ataques sem fio 363

FIGURA 12,23 Airodump de criptografia WEP

transmissão de pacotes inúmeras vezes, o que obriga o ponto de acesso para responder com pacotes contendo IVs. Através da realização de um ataque de repetição, podemos criar milhares de IVs em questão de minutos, acelerando o nosso ataque. Lançamento de um ataque de repetição é causa adicional congestionamento da rede e só deve ser utilizado se a rede pode lidar com o extra volume sem acionar alarmes de rede. Figura 12,24 é o resultado de Aircrack-ng decifrar a chave de acesso WEP. O valor da chave é 4E: 31:9 F: 68: F1: 55: E7: E6: 1D: 64: A3: 8C: 0B. Tempo total para decifrar o chave, de acordo com Aircrack-ng, foi de cerca de 9 min e necessária apenas 35.006 IVs.

FIGURA 12,24 Aircrack-chave com sucesso Identificar WEP

364

A vantagem WEP cracking WPA tem mais é que a criptografia WEP pode ser quebrados, independentemente da complexidade chave de criptografia. O único problema é que um monte de tráfego de rede precisa ser capturado para quebrar WEP. Tráfego adicional pode ser gerados, conforme necessário, assumindo um cliente é conectado ao ponto de acesso. Mesmo que WEP é considerado um protocolo de segurança obsoleto, muitos mais velhos sistemas não pode usar nada mais forte. Isso obriga as empresas a fornecer acesso pontos com criptografia WEP ou aquisição de equipamentos atualizados, que é muitas vezes um alternativas indesejáveis. Ataques de criptografia sem fio não são o único tipo de ataques sem fio, às vezes o driver wireless em si tem uma vulnerabilidade explorável. Um exemplo é a Apple AirPort vulnerabilidade driver wireless, que podem ser exploradas usando um buffer overflow ataque. Informações sobre o ataque pode ser encontrada em www.kb.cert.org/vuls/id/563492.

PROJECT MANAGEMENT Neste ponto na penetração preocupações escopo de teste, e os custos devem ser gerenciáveis, os membros da equipe estão trabalhando duro, ea qualidade é reunião expectativas. O maior risco para o sucesso de um teste de penetração é quando um alvo falhas no sistema e as pessoas precisam ser notificados. O risco é que o segundo maior vetores de ataque em potencial estão constantemente a ser descobertos.

Fase Processo de execução Quando o pentest engenheiros começam a comprometer e elevar privilégios no alvo sistemas, os engenheiros estão encontrando novas vulnerabilidades em um ritmo muito mais rápido do que no início do pentest o. Com cada nova descoberta, novas explorações são usados, e com cada novo exploit a ser utilizado, a ameaça de uma falha no sistema aumenta. A menos que o teste de penetração é utilizado para determinar a resposta a incidentes, constante comunicação entre a equipe de teste de penetração e administradores é fundamental para garantir o sucesso de um pentest projeto. Os engenheiros não podem reconhecer no tempo que suas ações causaram uma queda de energia; trabalhando estreitamente com os administradores, eles pode ser capaz identificar os problemas com rapidez suficiente para evitar um desastre. Distribuição de de informação Como mencionado no Capítulo 11, o Plano de Gerenciamento de Comunicações é o mais insumo importante tanto para o processo de distribuição da Informação e da Gestão Processo as partes interessadas. Quando um sistema de destino falha ou é comprometido com um ataque trivial, os interessados precisam ser informados rapidamente. Todos os contatos de emergência devem ser informados sobre ataques iminentes, em caso de algo acontecer que requer respostas rápidas. Isso não significa que os interessados precisam saber sobre todos os exploits -em muitos casos do sistema, alertando os administradores de rede e vai dificultar o teste de penetração.

Sumário 365

Uma vez que os administradores de compreender a natureza de uma vulnerabilidade, podem patch o sistema, impedindo novos testes. Isso dificulta não só os testadores de penetração, mas pode mascarar uma vulnerabilidade mais grave que pode ser descoberto através de uma diferente (E potencialmente não testado) vetor de ataque.

Processo de Monitoramento e Controle Muitas das mesmas tarefas dos capítulos 9 a 11 continuam nesta fase do teste de penetração, incluindo a realização de controle de qualidade, elaboração de relatórios sobre o desempenho, monitoramento e controle de riscos e controle do escopo. O maior desafio será ser o controle da programação. Porque novas vulnerabilidades estão sendo descobertos, engenheiros querem alargar o prazo para o projeto. Aumento do escopo não é tanto de um problema, a menos que relações de confiança entre redes ou sistemas diferentes foram descobertos, especialmente se essa confiança relação é com os sistemas administrativos ou de controle. No entanto, o mais interno vulnerabilidades descobertas em um sistema, quanto mais próximo os engenheiros provavelmente será a comprometimento total do sistema de destino.

Controle da programação Se os engenheiros descobrem vulnerabilidades que prometem compromisso total de um sistema, mas requer tempo adicional para além da já atribuído de compressão do cronograma, técnicas podem ser necessárias. Se mais de um engenheiro é sobre o projeto, uma método de comprimir o cronograma seria remover um engenheiro que trabalhava na uma vulnerabilidade menos promissores e movê-los em uma atividade de projeto no final do cronograma do plano, tais como relatórios. Nivelamento de recursos é outro método eficaz de compensar cronograma deslizamento. Se os recursos são necessários para o compromisso total de um sistema de destino, o acesso para o recurso pode ser deslocado em favor dos engenheiros que trabalham na alta alvo probabilidade se isso ajudá-los a terminar a tarefa mais cedo. Nivelamento de recursos pode alterar o caminho crítico do projeto, no entanto, se o compromisso total é alcançada, testes de penetração adicionais podem não ser necessários, o que certamente traz qualquer deslize para trás em linha com o cronograma do projeto.

RESUMO Uma vez que temos um compromisso inicial de um sistema ou rede, devemos olhar para formas de aumentar a nossa privilégios de acesso. Se tivermos acesso ao sistema local, devemos procurar formas de tornar um administrador, se nós temos acesso à rede, devemos sniff para o tráfego na rede para ver o que as informações confidenciais que podemos obter. Porque há uma chance real de que poderíamos criar um ataque de DoS através da realização de um ataque MITM, a utilização de ettercap deve ser feito em um laboratório de teste de penetração

366

antecipadamente -isso vai ajudar a aumentar a confiança na técnica e ajudar a definir a configuração exata necessária em um pentest do mundo real. Embora a idéia de cortar uma rede e os sistemas que utilizam a vulnerabilidade exploits podem parecer atraentes, não descarte táticas de engenharia social para obter os mesmos resultados. Engenharia social tem provado ser um método eficaz de obtenção de informações sigilosas sobre a empresa e seus clientes. Ser cuidadoso antes de realizar qualquer ataque de engenharia social na unidade corporativa permissão deve ser obtido para evitar qualquer confronto com a lei aplicação da lei. Ataques sem fio são quase trivial em pentest ambiente de hoje. Porque as corporações estão usando wireless para estender suas capacidades de rede interna, uma verificador da penetração profissional deve compreender os vetores de ataque dentro sem fio. Pontos de acesso desonestos será o melhor caminho para uma rede, porque pontos de acesso corporativo com suporte inclui, normalmente, de rede adicional defesas. Como gerente de projeto, será difícil "Cut off "um engenheiro que tem descobriu uma nova vulnerabilidade no sistema de destino perto da conclusão do o teste de penetração. Porque compromisso total de um sistema detém tão grande apelar para um testador de penetração profissional, o engenheiro irá solicitar adicionais tempo para acompanhar a nova descoberta. Se a nova vulnerabilidade detém o promessa de aumentar o acesso ao sistema, há de gerenciamento de projetos técnicas que irão permitir um tempo adicional ser colocado à apreciação do vulnerabilidade. Na conclusão desta fase de um teste de penetração, o teste de penetração engenheiro provavelmente terá uma compreensão das forças de segurança e fraquezas do sistema de destino ou rede. A parte hands-on do teste de penetração em breve concluir, e os engenheiros vão começar a trabalhar no final relatório. É importante lembrar que o objectivo global de um teste de penetração é para não comprometer um sistema ou rede, é para informar os clientes sobre o que vulnerabilidades existem em seu sistema.

As soluções da FAST TRACK Enumeração sistema ■

Acesso a informações sensíveis podem ser suficientes para considerar a penetração teste como um sucesso.

■

É possível que um sistema é deixado sem compromissos na conclusão de um Pentest -é simplesmente demasiado caro para encontrar todos os métodos de exploração de um sistema. Explorando vulnerabilidades interna é um método eficaz de elevar privilégios em um sistema alvo, mas só é possível se o acesso local é obtida em primeiro lugar.

■


Packet Sniffing rede ■

ARP spoofing o roteador gateway pode ser detectado e enviado para alarmes segurança os administradores de rede.

■

Ataques MITM também pode ser usada para farejar o tráfego que é enviado criptografado canais, incluindo tanto o SSH e protocolos SSL.

■

A capacidade de interceptar ou passivamente coletar dados em uma rede fornece a verificador da penetração profissionais um meio de obter as credenciais de login ou outros dados sensíveis, o que pode ser usado para acessar o sistema alvo com elevado privilégios.

Engenharia Social ■

Ataques de engenharia social são extremamente eficazes na obtenção não autorizada acesso a informações sensíveis.

■

Uma engenharia social vantagem tem mais um ataque à rede é que as pessoas muitas vezes quero ser útil e de bom grado oferecer solicitou informações sensíveis.

Ataques sem fio ■

Mesmo que uma rede sem fio é uma alternativa barata para wired redes, a falta de medidas adequadas de segurança pode ser mais caro para um da empresa.

■

A exigência de realização de ataques sem fio é usar um sistema de ataque que tem um adaptador sem fio que pode ser colocado em "Monitor Modo. "

■

WPA é mais rápido para quebrar a WEP, WPA, mas só pode ser quebrada se fraca senhas são usadas.

■

WEP pode levar mais tempo para quebrar a WPA, WEP, mas sempre pode ser quebrado.


O maior risco para o projeto de teste de penetração durante esta fase é comunicação em caso de falhas do sistema.

■

Interessados não precisam ser informados sobre todos os exploits descobertos durante esta fase do teste de penetração -em muitos casos do sistema, alertando e administradores de rede irá prejudicar o pentest.

■

Se os engenheiros descobrem vulnerabilidades que prometem compromisso total de um sistema, as técnicas de compressão do cronograma pode ser necessário para fornecer o engenheiro com tempo adicional.

368


Eu não posso obter privilégios administrativos no sistema de destino. O que deve Eu faço?

A:

Em um teste de penetração profissional, nem sempre é possível obter admin acesso. É razoável concluir pentest um sem esse acesso.

Q:

Como faço para farejar o tráfego de rede de uma rede diferente?

A:

Você só pode sniff o tráfego na rede à qual você está atualmente conectado. Para farejar o tráfego em uma rede diferente da sua, você precisa comprometer um sistema (ou um lugar) na rede de destino.

Q:

Eu tenho um monte de IVs de um ataque WEP sem fio, mas Aircrack-ng ainda não sido capaz de quebrar a chave. O que estou fazendo de errado? Embora as melhorias foram feitas para reduzir o número de IVs necessária para quebrar a chave, às vezes tudo dá errado para uma verificador da penetração, e os "Direita" IVs não são capturados. O momento exato uma chave WEP é rachado irá variar significativamente entre um e pentest o próximo.

A:

Expandir suas habilidades Quer saber sobre comprometer um sistema e aumentando os privilégios? O exercícios seguintes destinam-se a fornecê-lo com conhecimento adicional e habilidades, para que você possa entender melhor este tema. Use o seu laboratório para realizar a seguintes exercícios.

EXERCÍCIO 12,1 Vulnerabilidades internas 1.

Baixar o "Linux kernel 2.6.17 -2.6.24.1 vmsplice Exploit Raiz Local " de http://milw0rm.org.

2.

Usando o shell criado pelo OpenSSH / OpenSSL pacote Debian Random Número explorar Fraqueza Generator (a partir do Capítulo 11, Exercício 11.1), execute o vmsplice explorar como o usuário obama.

3.

Usar o whoami comando para determinar os seus privilégios após a execução do explorar. Qual usuário você está atualmente?

4.

Identificar e explicar as eventuais diferenças entre o exemplo no livro e suas próprias experiências.

Referências 369

EXERCÍCIO 12,2 Packet Sniffing rede 1.

2. 3.

Usando a configuração do laboratório semelhante ao encontrado na Figura 12.11, construir um laboratório para realizar um ataque MITM. Substituir o servidor 192.168.1.100 com o Hackerdemia servidor. Usando ettercap, lançar um ataque MITM usando ICMP redirect a partir do seu BackTrack servidor. Consulte as páginas de homem e arquivo de ajuda, conforme necessário. Logon no servidor Hackerdemia, usando nome de usuário: root e senha: toor.

4.

Uma vez conectado ao servidor Hackerdemia, inicie a interface gráfica do usuário (GUI) usando a startx comando. Inicie o navegador Web Firefox, e navegar até a página de login pWnOS Webmin na porta 10000.

5.

Tentativa de fazer logon no servidor Webmin. Ver se o aplicativo ettercap foi capaz de capturar a tentativa de login.

EXERCÍCIO 12,3 Ataques sem fio 1.

Visite www.cdc.informatik.tu-darmstadt.de/aircrack-ptw/ e ler a explinação sobre a história da exploração e WEP RC4.

2.

Download o artigo de Scott Fluhrer, Mantin Itsik, e Adi Shamir, encontrada em: www.drizzle.com/ ~ aboba/IEEE/rc4_ksaproc.pdf.

3.

Defina o seguinte:

4.

■

RC4

■

Fraqueza invariância

De acordo com o Fluhrer Scott, Mantin Itsik, e Adi Shamir publicação, qual é o número esperado de IVs necessária se o comprimento IV é de 10?

Referências Mertvago, P. (1995). O dicionário Russo-Inglês comparativa de provérbios russos e provérbios. New York: Livros Hippocrene. Open Information Security Systems Group. (2006). Sistemas de Informação Security Assessment Quadro Projecto (ISSAF) 0.2.1B. Obtido em Open Group Security Sistemas de Informação Web site: www.oissg.org/downloads/issaf/information-systems-security-assessment-framework-issaf-draft-0.2.1b/download.html


CAPÍTULO

Mantendo o acesso

13

SOLUÇÕES NESTE CAPÍTULO Conchas e Shells Reverse .............................................. ............................ 372 Túneis criptografados ................................................ ................................... 379 Criptografia e Métodos outras Tunnel ............................................. .............. 386

INTRODUÇÃO Частые гости наскучат. -Provérbio russo: "A convidado constante nunca é bem-vinda. " (Mertvago, 1995)

Uma vez que o acesso foi obtido em um sistema de destino, precisamos manter esse acesso. Não é incomum para janelas de manutenção do sistema para ocorrer durante a o teste de penetração -se parte da manutenção programada é para corrigir o vulnerabilidade temos explorado, o nosso acesso pode ser encerrado. Além disso, se um sistema é reiniciado ou perdemos conectividade de rede, acesso remoto shell pode ser permapermanentemente perdida. O uso de backdoors é muito comum em um teste de penetração. Muitas vezes existe uma precisamos encontrar maneiras de contornar obstáculos de defesa, tais como firewalls ou controle de acesso listas. Backdoors podem deslizar passado todas essas defesas, dando ao profissional acesso irrestrito a penetração no sistema comprometido. Backdoors também pode acelerar o acesso a um servidor, como o exemplo com Webmin nos Capítulos 10 e 11 -condução do Debian Open Secure Sockets Layer Exploit (SSL) levou horas, e repetindo que exploram simplesmente para obter acesso a cada vez que precisamos seria demasiado onerosas. Outra vantagem de ter acesso rápido a nossa máquina da vítima é que uma vez dentro da rede, o engenheiro tem muito mais liberdade para fazer a varredura e ataque sistemas, porque as defesas de rede, muitas vezes apenas olhar para o ataque forasteiro -um ataque proveniente de um sistema dentro da rede pode passar despercebida. Se estabelecermos um backdoor usando criptografia, podemos esconder nossa atividade melhor.


372 CAPÍTULO 13 Mantendo o acesso

No Capítulo 11, usamos CORE IMPACT para injetar agentes no sistema de destino. Estes agentes podem ser feitas persistente, tornando-se efetivamente backdoors para ser usado para acessar o sistema, conforme necessário. Se tivéssemos de penetrar em sistemas múltiplos múltiplas redes para alcançar o nosso objectivo final, esses agentes podem também ser usados para saltar de um sistema para o outro. CORE IMPACT carrega todos os seus agentes na memória, o que reduz a chance de detecção, uma vez que nenhum arquivos são instalados no sistema comprometido. A disvantagem de instalar na memória é que se o sistema for reinicializado, os agentes são perdidos. Se absolutamente tinha que ter uma conexão persistente, podemos querer instalar um aplicativo backdoor no sistema, não apenas na memória. Há maneiras de criar uma conexão persistente com impacto, mas a maneira mais fácil para criar um backdoor no sistema comprometido é utilizar o netcat.

ESCUDOS e conchas REVERSE Netcat é uma aplicação que tem sido usado por administradores de sistema para fornecer conectividade entre os dois sistemas. Netcat pode funcionar como um servidor ou um cliente -se queremos netcat para escutar uma ligação, também podemos configurá-lo para gerar um shell quando uma conexão é feita, proporcionando-nos acesso à linha de comando para o sistema. Se temos acesso constante à rede, a gente pode querer configurar netcat para escutar para uma ligação no sistema explorado. No entanto, a maioria das configurações pentest netcat usando será projetado para "Telefone casa "ou solicitação de conexão de partida do sistema de exploração para um servidor de ataque sob o controle da penetração engenheiro de teste. Este último método é conhecido como um reverse shell. Para os nossos exemplos usando conchas e cascas reversa como um método de manter acesso a um servidor, vamos usar a configuração de rede visto na Figura 13.1 e estará usando o LiveCD Hackerdemia servidor em nosso laboratório como o nosso alvo. Nós também a assumir que já explorou o sistema (como através do uso de o Debian OpenSSL Exploit) e estão simplesmente tentando instalar um backdoor.

Netcat Shell Figura 13.2 é uma representação gráfica de uma conexão de shell, usando o netcat. Nesta exemplo, o sistema tem explorado netcat sendo executado em um modo de escuta. Para criar o canal de comunicação, nos conectamos com o nosso sistema de ataque para a escuta aplicação netcat. Para usar o netcat como backdoor, precisamos ter uma maneira de direcionar toda a comunicação através netcat em uma janela de comandos ou comando. Se olharmos para a Figura 13.3, vemos os resultados de um scan do Nmap contra o servidor Hackerdemia, que tem inúmeras portas disponíveis para se conectar. A porta veremos neste capítulo é a porta 1337, identificado como "Resíduos", de acordo com o Nmap. Na realidade, é netcat configurar para ouvir uma chamada conexão, que seria então lançar um shell quando uma solicitação de conexão é recebido. Na Figura 13.4, vemos que netcat foi configurado para executar um shell usando o "E-" opção. Este shell é iniciado quando o sistema é inicializado, porque

Conchas e Shells Reverse 373

Roteador sem fio


VM Player

VM Player


192.168.1.123

Figura 13.1 Configuração de Rede

Sistema de exploração

Netcat shell

Sistema de ataque

Hackerdemia servidor

Figura 13.2 Netcat Shell

é no / Etc / rc.d pasta. Este procedimento garante que a nossa backdoor será disponíveis mesmo se o sistema for reiniciado pelo administrador do sistema do servidor.

NOTA O ouvinte netcat localizada no LiveCD Hackerdemia servidor já estiver instalado de forma que podemos jogar com ele. Se quiséssemos criar o nosso próprio ouvinte para fins de prática, que é definitivamente um exercício benéfico.

Quando uma conexão é feita, netcat irá executar o shell bash, permitindo-nos para interagir com o sistema. Permissões em sistemas Linux (assim como a Microsoft


Figura 13.3 Nmap Scan de Hackerdemia Server

Figura 13.4 Backdoor Usando Netcat

Windows) são transferidos sempre que um processo é iniciado, em nosso exemplo, o bash shell herdarão as mesmas permissões de quem iniciou o processo netcat, que foi o próprio sistema. Isso é importante lembrar, porque essas permissões podem impedir a execução da aplicação desejada, dependendo do que os direitos do aplicação netcat herda. No nosso exemplo, será como o usuário "Root".


Figura 13.5 Usando Connection Backdoor Netcat

Agora que sabemos que há um ouvinte netcat em execução no sistema, podemos usar o nosso servidor de ataque para se comunicar com o nosso alvo. Uma vez conectado, podemos começar para emitir comandos através do programa shell bash. O processo de conexão é simples -nós simplesmente lançar netcat para conectar-se 192.168.1.123, como visto na Figura 13.5. Note que não há avisos que indicam o sucesso ou o fracasso -todos nós receber no momento da conexão é uma linha em branco. No entanto, se começar a digitar os comandos, veremos que teremos respostas adequadas. Para verificar se temos conectado ao sistema de destino (192.168.1.123), a saída de ifconfig é fornecido na Figura 13.5. Novamente, é importante lembrar que permissões são herdadas. Neste exemplo, porque foi lançado durante o netcat inicialização, temos privilégios de root, como mencionado anteriormente, e como ilustrado pelo whoami comando. Agora temos um backdoor que será acessível desde que o script de inicialização está em execução.


Where Is My Command Prompt? A ausência de qualquer aviso ao usar netcat para gerar um shell de comando é uma surpresa quando usado pela primeira vez e difícil de ajustar. A ausência de um prompt de comando é porque o prompt configuração não é herdado em monitores diferentes, neste caso o nosso display remoto. Em vez disso, você só vai ver uma linha em branco à espera para entrada. No começo, você pode se encontrar à espera para que algo aconteça, só para finalmente perceber que tudo está funcionando como deveria.


Netcat Reverse Shell Nós não podemos sempre esperar para ter acesso ao nosso sistema de destino se estamos localizados em um rede externa. Se o acesso à rede para a rede de destino for denunciado por qualquer motivo (como uma nova regra de firewall), perderíamos a capacidade de conectar ao nosso backdoor netcat. No entanto, antes que o acesso é cortada, podemos estabelecer uma shell reversa, que vai tentar se conectar ao nosso sistema de ataque, como visto na Figura 13.6. Em um shell reverso, o sistema de ataque é executado netcat em ouvir modo, o sistema explorado e tenta se conectar ao sistema de ataque. Um shell reverso, muitas vezes, impedem firewalls de cortar nossa ligação. Porque a maioria dos firewalls permitem conexões de saída livre, um shell reverso proveniente de dentro da rede será permitido para se conectar ao nosso servidor ataque. Na Figura 13.7, podemos ver um script rudimentar que cria um shell reverso conexão usando o netcat. Assim que lançar este script no nosso servidor Hackerdemia, netcat vai tentar conectar com o host 192.168.1.10 menos, que é o BackTrack sistema para este exemplo. Este script poderia usar algumas melhorias -como está escrito, netcat constantemente tentativa de fazer uma conexão, como visto na Figura 13.8. Se permitirmos que o netcat para executar como configurado na Figura 13.7, os recursos do sistema será ocupado tratando a conexão tentativas e podem retardar o sistema.


Netcat reverter shell

Sistema de ataque

Figura 13.6 Reverse Shell Usando Netcat

Figura 13.7 Reverse Shell Usando Netcat



Figura 13.8 Netcat tentando ligar para Attack Server

AVISO A queda de desempenho pode alertar o administrador do sistema para nossa atividade. Rede Os administradores podem notar um aumento no tráfego também. Uma alternativa seria escrever o script de uma forma que netcat iria tentar fazer apenas uma conexão a cada 10 minutos.

Uma vez netcat foi lançado, podemos começar nosso ouvinte netcat a qualquer momento em o sistema BackTrack para que ele se conecta ao nosso shell reverso. Figura 13.9 ilustra a nossa capacidade de se conectar ao nosso sistema de destino, sempre que necessidade de fazê-lo. Se olharmos atentamente para a Figura 13.9, vemos que conectado duas vezes para o servidor vítima, basta executar o netcat como um ouvinte, matando-o, e depois reexecução-lo novamente. Com um shell reverso constantemente tentando entrar em contato conosco, nós podemos retomar a nossa análise da rede como permite a nossa programação. AVISO Figura 13.8 é uma ilustração de um ataque usando um script que tenta constantemente ouvir para uma conexão. Se tivéssemos de sair do prompt de comando na Figura 13.8, o ouvinte provavelmente parar de trabalhar. Se estivéssemos fazendo isso de verdade, que gostaria de ter o processo de execução em segundo plano (o que seria parecido com o seguinte comando no Linux: Slax root @ ~ # . / Reverse_shell &).

No nosso exemplo de um shell reverso, foram selecionados para se comunicar através da porta 1337, só porque eu como o número da porta. Deve-se notar que algumas portas estão fora dos limites para alguém que não seja o sistema ou o usuário root; uma porta registrados (1024-49151) podem ser acessados por qualquer pessoa no sistema, e as portas bem conhecidas (0-1023) só pode ser usado pelo usuário root ou o sistema. Porque estamos na raiz o sistema de ataque, ele realmente não importa qual a porta que usamos. Se não tínhamos certeza sobre o que existia regras de firewall para conexões de saída, podemos selecionar nossos shell reversa para usar a porta 80, que é muitas vezes excluído


Figura 13.9 Sistema de ataque aceitar o pedido de conexão Netcat

egresso regras de filtragem. Mesmo que estaria funcionando netcat na porta 80 do nosso ataque do sistema em vez do servidor Web típico, firewall e detecção de intrusão sistemas normalmente assumem que a nossa comunicação backdoor é o tráfego da Web provenientes do servidor Hackerdemia. A desvantagem em selecionar a porta 80 é que é preciso ter privilégios de root para usar uma porta bem conhecido, ea porta 80 pode já ser utilizado por um servidor Web. Agora temos um shell reverso à nossa disposição. Infelizmente, tudo o que enviar para o sistema de destino será em texto puro, porque netcat não criptografa o fluxo de comunicação. Para evitar a detecção, a gente pode querer pensar sobre criptografar o nosso tráfego, especialmente se vamos estar enviando scripts explorar a nossa vítima para futuros ataques contra o sistema ou a rede na qual ele reside.

AVISO Se criarmos um backdoor em um teste de penetração, teremos de ser capazes de remover los mais tarde. Se não formos cuidadosos e não documento nossas atividades completamente, poderíamos expor um cliente para um perigo adicional. Ter a documentação completa (incluindo imagens) pode fazer a remoção de qualquer backdoors mais fácil.

Túneis criptografado 379

TÚNEIS ENCRYPTED Depois que um sistema tem sido explorado e temos uma conta, qualquer atividade que fazemos sobre a conexão netcat pode ser detectado por aparelhos de rede defensiva, incluindo a detecção de intrusão / sistemas de prevenção, como visto na Figura 13.10. Para evitar a detecção, precisamos criar um túnel criptografado o mais rápido possível. Para este exemplo, vamos usar Secure Shell Open (SSH). Um túnel SSH nos permitirá empurrar exploits malware e adicionais para a sistema da vítima sem ser detectado, porque todo o tráfego entre o ataque sistema e que a vítima é criptografada. Uma vez que temos um túnel criptografado, podemos continuar o nosso ataque para a rede. Nossa conexão inicial com o shell reverso netcat serão úteis na criação de o túnel SSH. No laboratório, nós estaremos usando um exemplo muito simplificado de como controles preventivos são estabelecidos dentro de uma rede, mas o conceito é idêntico para redes mais complexas. Neste cenário, estamos usando o iptables aplicação especificamente para negar todo o tráfego proveniente de 192.168.1.10, que é o ataque sistema nesse caso.

AVISO Indevidamente configurar iptables na rede do laboratório podem impedir uma negação de serviço ataque contra o host ou sistema de ataque, produzindo resultados incorretos. Criação de regras de firewall não é abordado neste livro, mas é uma habilidade importante para ter como um testador de penetração, especialmente quando se olha para misconfiguration firewall regra que pode ser explorado em um pentest.

Porque já comprometido o disco Hackerdemia no nosso exemplo, vamos adicionar uma meta adicional para simular como poderíamos usar os explorados sistema para atacar outros alvos na rede, como visto na Figura 13.11. Estamos também vai adicionar um bit opcional de complexidade para o nosso ataque -iremos adicionar um host firewall também (se você deseja replicar este cenário em seu próprio laboratório, sem a firewall host, tudo bem).


Netcat shell (malware) SSH túnel (malware) Prevenção de intrusão sistema

Sistema de ataque DMZ firewall

FIGURA 13,10 Defesas rede bloqueio de malware mais Cleartext Channel




Servidor na DMZ

Netcat reverter shell Novo alvo SSH reverso shell Sistema de ataque


192.168.1.100

DMZ firewall

FIGURA 13,11 Configuração de rede tunelamento

Adicionando um Firewall Host (Opcional) Figura 13.12 mostra a adição de regras de iptables para bloquear qualquer tráfego de entrada do sistema de ataque. Embora o uso de iptables não é necessário para ilustrar a criação de um túnel SSH, é útil para demonstrar como um shell reverso pode ser utilizado em um teste de penetração do mundo real. Figura 13.13 mostra os resultados de um scan do Nmap após o iptables foram definida no servidor Hackerdemia. Com base na saída, o iptables está bloqueando todas as Transmission Control Protocol tráfego (TCP), bloqueando efetivamente as nossas tentativas de conectar ao nosso sistema de destino.

FIGURA 13,12 Configurando o Iptables sobre Server Hackerdemia


FIGURA 13,13 Nmap Scan de Hackerdemia Server com Active Iptables

Configurando o SSH Shell Reversa Se ainda temos acesso ao nosso shell reverso, como visto na Figura 13.6, podemos nos conectar do nosso sistema de ataque a qualquer momento que queremos, apesar de as regras de firewall. Figura 13.14 é uma imagem de nossa conexão com o servidor Hackerdemia, utilizando o estabelecido reverse shell. Porque já temos um compromisso com netcat e não enviados qualquer código malicioso que pode ser detectado por um sistema de detecção de intrusão, que provavelmente pode dar ao luxo de fazer uma consulta rápida contra o nosso alvo.

Configurando chaves pública / privada Figura 13.14 indica que há um servidor SSH em execução no nosso novo alvo 192.168.1.100. Porque netcat não usa criptografia, recebemos um aviso sobre o protocolo a não correspondência. O que precisamos fazer neste momento é criar um SSH túnel para o servidor Hackerdemia, upload de algum software, e realizar um ataque contra o servidor 192.168.1.100. Para isso, vamos precisar para criar um público / privado par de chaves. A distribuição do par de chaves pode ser observado na Figura 13.15.

FIGURA 13,14 Tentativa de conexão com SSH em 192.168.1.100 Usando Shell Reverse Netcat


Público chave

Privado chave SSH reverso shell


Sistema de ataque DMZ firewall

FIGURA 13,15 Distribuição par de chaves para Tunnel SSH

FIGURA 13,16 Instalação no Server Attack para Conexão SSH

Na Figura 13.16, montamos o sistema de ataque, para que possamos criar um SSH direto conexão criptografada a partir do servidor para o servidor Hackerdemia ataque, que será também tem que ser um shell reverso, porque o firewall está impedindo qualquer entrada conexões. Primeiro criamos um público / privado par de chaves RSA com uma senha em branco, o que nos permite automatizar a nossa ligação (caso contrário, a solicitação de um senha seria gerado). Nós, então, criar um ouvinte netcat que vai empurrar o id_rsa arquivo para um sistema de conexão. Um outro passo que precisamos fazer é anexar o arquivo id_rsa.pub para o authorized_keys arquivo no nosso servidor de ataque, que pode ser feito com o seguinte comando: cat id_rsa.pub>> / root / .ssh / authorized_keys. Uma vez que montamos o nosso sistema de ataque para empurrar a chave privada para o Hackerdemia servidor, precisamos iniciar o serviço SSH no servidor de ataque, que pode ser visto no Figura 13.17. Na Figura 13.18, voltamos ao nosso shell reverso na porta 1337. Uma vez conectado, que recuperar o arquivo id_rsa do sistema de ataque e colocá-lo no do usuário . Ssh diretório (neste caso, é / Root / .ssh). Depois, temos que alterar as permissões para que somente o usuário pode ler e gravar o arquivo id_rsa, e então conectar ao SSH servidor iniciado na Figura 13.17.


FIGURA 13,17 SSHD Startup

FIGURA 13,18 Download de arquivos id_rsa e conexão ao ataque servidor SSH

A sintaxe que usamos ao iniciar o servidor SSH significa o seguinte: ■

-O StrictHostKeyChecking = no Isso nos permite passar por cima de qualquer autenticidade perguntas que possam interferir com a nossa conexão netcat.

■

R-44444: localhost: 22 O R-cria uma conexão inversa. Porta 44444 é o SSH conexão que é criado no servidor de ataque para este túnel e porta 22 é a porta do túnel vai conectar no servidor Hackerdemia. Temos


FIGURA 13,19 Cliente SSH local Conectando a Tunnel SSH

para usar uma conexão reversa desde o firewall nos impede de conectar-se o servidor Hackerdemia diretamente. ■

[email protected] Isso configura o túnel SSH para se conectar "Root" para o nosso servidor ataque.

AVISO Neste exemplo, estamos conectando ao nosso sistema de ataque como o usuário "Root" sem a necessidade de fornecer uma senha para que possamos automatizar nossa conexão reversa shell. Qualquer um que tenha acesso ao sistema da vítima também pode ligar para o nosso sistema de ataque sem a necessidade de fornecer uma senha. Obviamente, este é um risco de segurança enorme. Em um real teste de penetração mundial, poderíamos criar um novo usuário em nossa plataforma de ataque que não tinha privilégios, em vez de root.

Uma vez que pressionar a retorno chave, temos estabelecido um túnel SSH entre o Hackerdemia servidor eo servidor de ataque. O próximo passo é conectar um cliente SSH para o porto local escutando na porta 44444, como visto na Figura 13.19.

Lançamento do Shell Reverse criptografados Agora que temos uma conexão SSH entre o nosso sistema de ataque e os Servidor Hackerdemia, podemos tentar e se conectar ao nosso servidor de destino na porta 22 para ver qual a resposta que recebemos. Figura 13,20 mostra os resultados de nossa tentativa. Podemos ver que temos uma conexão válida para o aplicativo OpenSSH em nosso alvo sistema -o problema é que não tem um login.


FIGURA 13,20 Tentativa de conexão SSH em 192.168.1.100 Usando SSH Tunnel

Neste ponto, podemos começar com a nossa fase de coleta de informações e verificar o servidor de destino. Se encontrar alguma coisa interessante, podemos avançar para Vulnerabilidade Identificação. Podemos também fazer download de ferramentas para conduzir ataques contra 192.168.1.100, tais como as demonstradas no Capítulo 11. Nós também pode querer automatizar o shell reverso criptografados através da criação de e salvar um script na / Etc / rc.d diretório de inicialização do sistema, tornando o SSH conexão persistente.

Notes from the Underground ... Ferramentas escondendo sua Hacker É realmente difícil saber se os arquivos que você carrega em um sistema de destino irá disparar um alarme por um Host Intrusion Detection System. Menos que você tenha acesso irrestrito ao comprometida sistema (o que é incomum no início), é provável que você só vai ter que dar uma chance e fazer upload de seus arquivos, esperando que nada acontece. Para eliminar este "Roll dos dados ", você pode tomar medidas para modificar as suas ferramentas de tal forma a evitar a detecção por completo. A Internet tem muitos tutoriais disponíveis que discutir como alterar binários para que eles não corresponderem antivírus ou de detecção de intrusão do sistema (IDS) assinaturas. Provavelmente, o mais relevantes para este capítulo é intitulado "Tomar Voltar Netcat "e pode ser encontrado online em: http://packetstormsecurity.org/papers/virus/Taking_Back_Netcat.pdf

Agora que temos afastou-se do túnel reverso cleartext netcat e para um túnel criptografado SSH, podemos ser mais agressivo sobre o transporte de explorar


código para o servidor Hackerdemia sem se preocupar com a detecção de intrusão por detecção / sistemas de prevenção. Isto irá aumentar o tempo em que podemos manter acesso no sistema explorado, porque agora estamos evitando a detecção de rede através de nosso uso de um canal de comunicação criptografado.

CRIPTOGRAFIA E OUTROS MÉTODOS DE TÚNEL SSH não é o único método de criptografia de um túnel de comunicação. A poucos outros aplicações do túnel existe que usam diferentes tipos de criptografia. O seguinte é uma lista de ferramentas de tunelamento que utilizam várias formas de métodos de criptografia e tunelamento que pode ser usado em vez do que foi demonstrado neste capítulo. ■ Cryptcat Semelhante ao netcat, cryptcat pode ser usado para estabelecer a comunicação canais entre os sistemas, incluindo Linux, Microsoft Windows, e várias distros de Berkeley Standard Distribution (BSD). A diferença é cryptcat que pode criptografar o canal usando o algoritmo de criptografia Twofish, que é uma cifra de bloco de chave simétrica. Para trabalhar com criptografia, tanto sistemas deve possuir a chave mesma cifra, exigindo trabalho adicional no criação cryptcat. ❐ ■

Homepage: http://cryptcat.sourceforge.net

Matahari A inversa Hypertext Transfer Protocol shell (HTTP), escrito em Python, Matahari pode tentar se conectar ao seu sistema de ataque em diferentes intervalos pela porta 80; mais rápida do ser uma vez a cada 10 s, e os mais lentos uma vez a cada 60 s. Matahari usa o algoritmo de criptografia para criptografar dados ARC4 entre os sistemas. ARC4 é agora um método obsoleto de criptografia, mas ainda é útil em um ambiente de teste de penetração. ❐

Homepage: http://matahari.sourceforge.net

■

ProxyTunnel Uma ferramenta útil que também transporta dados através de HTTP (S) proxies. Se uma rede corporativa não permite toda a comunicação de saída outras que o HTTP (S) conexões, ProxyTunnel pode criar um túnel OpenSSH para o nosso sistema de ataque, proporcionando-nos acesso shell ao servidor vítima. ❐ Homepage: http://proxytunnel.sourceforge.net

■

Socat Semelhante ao netcat, socat cria canais de comunicação entre servidores. Ao contrário netcat, socat pode criptografar o tráfego usando OpenSSL, o que permite opções adicionais de conectividade, tais como ligação directa para os portos usando HTTPS ou SSH. Socat acrescenta maior flexibilidade, permitindo ao usuário processos de garfo, gerar arquivos de log, abra e fechar arquivos, definir o protocolo IP (IPv4 ou IPv6), e tubo de dados. ❐

Homepage: www.dest-unreach.org/socat/

Sumário 387

■

Stunnel Esta aplicação é um wrapper SSL -o que significa que pode ser usado para criptografar o tráfego de aplicações que apenas enviam dados em texto puro, sem a necessidade de reconfigurar o aplicativo em si. Exemplos de dados em texto puro incluir qualquer coisa gerada pelo Post Office Protocol (POP) 2, POP3, Internet Message Access Protocol (IMAP), Simple Mail Transfer Protocol (SMTP), e aplicações HTTP. Uma vez stunnel está configurado para criptografar um dado canal, qualquer coisa enviada por essa porta será criptografada usando SSL. Stunnel É necessário o envio de ambos eo sistema de recepção para que o tráfego pode ser devolvido ao cleartext antes de ser passado para o adequado aplicação. ❐ Homepage: http://stunnel.mirt.net/

Alguns desses túneis tem aplicações muito específicas, tais como tunelamento através de HTTP (S) proxies, enquanto outros são versões criptografadas da netcat. O uso de um aplicativo a outro dependerá da arquitetura de rede contendo o sistema de destino e de preferência pessoal. Uma consideração adicional antes de usar qualquer método de criptografia é o sensibilidade dos dados sendo criptografados e da localização do sistema de ataque em relação à vítima. Se estamos atacando um sistema e fazer download de dados de clientes para provar um compromisso é possível, devemos utilizar ferramentas de criptografia avançado. Todos as ferramentas mencionadas requerem configuração adicional antes do uso, se os dados enviados através do canal não é sensível ou estamos conduzindo nossos testes em um closed rede, então o tempo gasto a criação de um túnel criptografado pode ser melhor gasto em outras tarefas.

RESUMO O uso de backdoors em um teste de penetração é essencial para que tenhamos constante acesso ao nosso sistema da vítima. O nosso compromisso original do sistema pode tornar-se bloqueado por meio de patch de sistema ou alterações na rede, impedindo-nos de explorar o sistema sempre que precisam de acesso. Através da instalação de backdoors que usam conchas reversa, nós podemos nos esquivar dispositivos de firewall que bloqueiam o tráfego de entrada, embora ainda continuar o nosso pentest atividades dentro da rede de destino. A ferramenta Open Source netcat é uma aplicação eficaz que pode ser usado para criar canais de comunicação entre dois sistemas. Com um pouco de script, netcat pode ser usado para criar um shell reverso que vai ligar de volta para o nosso sistema de ataque em qualquer intervalo de tempo que nós escolhemos. A desvantagem de usar netcat é tudo comunicação entre o nosso servidor de ataque e que a vítima é enviado em texto puro, o que poderia ser identificado e denunciado por um sistema de prevenção de intrusões. Para evitar a detecção, temos que usar um outro modo de comunicação -criptografado túneis.


Existem inúmeras aplicações disponíveis para a penetração profissional testador que permitem a comunicação criptografada entre o sistema de ataque e os servidor vítima. No nosso exemplo, usamos OpenSSH para criar um shell reverso da vítima de volta para o servidor de ataque, o que nos permitiu slide após o firewall de rede e em contato com um novo sistema dentro da rede. Há muitas maneiras de evitar a detecção e manter o acesso à vítima máquina, mesmo que as defesas de rede são implantados. Através da compreensão da rede, a ferramenta certa pode ser escolhida para evitar a detecção por engenheiros de segurança de rede que pode estar à procura de dados suspeitos que atravessam sua infra-estrutura.

As soluções da FAST TRACK Conchas e Shells Reverse ■

Backdoors podem deslizar passado todas essas defesas, dando ao profissional acesso irrestrito a penetração no sistema comprometido.

■

A desvantagem de instalar escudos na memória é que se o sistema é reinicializado, os agentes estão perdidos.

■

Um backdoor herdarão as mesmas permissões de quem começou o netcat processo.

■

Tudo enviados através de uma conexão de comunicação netcat é feito em cleartext -netcat não criptografa o fluxo de comunicação.

Túneis criptografado ■

Um túnel SSH permite exploits e malware adicional a ser colocado no sistema da vítima sem ser visto por sistemas de detecção de rede, porque todos o tráfego entre o sistema de ataque e que a vítima é criptografada.

■

Um túnel SSH pode ser configurado como um shell direta ou inversa, dependendo a acessibilidade do servidor de destino, o sistema de ataque.

Criptografia e outros Métodos Tunnel ■

■

Ferramentas adicionais usadas para dados de túnel entre proxies e protocolos podem não ser disponível para todos os sistemas operacionais. É possível criar um túnel seguro, mesmo se a comunicação subjacente protocolo não suporta criptografia, assim escondendo atividades de teste de penetração que poderiam ter sido detectados.



Como faço para criar um shell reverso, se eu não tenho acesso ao servidor?

A:

Para criar um backdoor para um sistema, o sistema de destino deve ser explorada em primeiro lugar. Algumas cargas explorar incluem conchas reversa, que faz a maior parte deste capítulo discutível, no entanto, até que você ganhe acesso ao sistema, criando um backdoor vai ter que esperar. Como faço para criar um backdoor que é executado na memória, como o CORE IMPACT? Boa pergunta -gostaria de saber. Apesar de que seria útil ter um backdoor na memória, em um teste de penetração profissional, muitas vezes é mais sensato deixar uma aplicação lidar com o backdoor ao invés de configurar um você mesmo. O tempo necessários para instalar um backdoor é muitas vezes mais bem gasto em outras atividades. É um questão de prioridade -na maioria dos casos, eu simplesmente deixar CORE IMPACT cuidar das coisas. Ok, isso não foi muito útil -Eu realmente preciso de um backdoor que é executado em memória.

Q: A:

Q: A:

Você deve verificar se rootkits. Há alguns que são executados em memória e fornecer conexões remotas.

Q:

Como eu deveria estar preocupado sobre unencrypted túneis?

A:

Além de evitar a detecção, um túnel criptografado protege os dados do cliente. Usando dados criptografados em um teste de penetração profissional é a escolha prudente.


EXERCÍCIO 13,1 Criação de um Shell Netcat 1.

Usando o servidor Hackerdemia, criar um ouvinte netcat na porta 44444 que lança um shell quando uma conexão é feita.

2.

Usando BackTrack como o sistema de ataque, se conectar ao servidor Hackerdemia em porta 44444, usando o netcat. O que o usuário faz o sistema acreditar que você está?

3.

Ver o arquivo / etc / shadow no servidor Hackerdemia, usando o netcat conexão. Quais os usuários são listados?


EXERCÍCIO 13,2 Usando Netcat para transferir arquivos 1.

Usando o exemplo de 13,6, crie uma conexão netcat que vai baixar o Arquivo / etc / shadow do servidor Hackerdemia para o sistema de ataque.

2.

O que o comando foi usado no servidor Hackerdemia para empurrar o arquivo / etc / arquivo shadow para um sistema remoto?

3.

O que o comando foi usado no sistema de ataque para puxar o arquivo / etc / shadow do sistema remoto?

EXERCÍCIO 13,3 Criar um túnel SSH 1.

Usando uma nova cópia da imagem Hackerdemia e BackTrack, tentar recriar a SSH túnel omitindo a seguinte opção: -O no = StrictHostKeyChecking. Foi o shell reverso bem-sucedido? Se não, por quê?

2.

Usando uma nova cópia da imagem Hackerdemia e BackTrack, tentar recriar o túnel SSH adicionando uma senha quando o par chave privada / pública é criado. Foi o shell reverso bem-sucedido? Se não, por quê?

3.

Omitindo as regras de firewall, criar um túnel SSH diretamente do ataque sistema para o servidor Hackerdemia. Que comando você usou?


CAPÍTULO

Cobrindo seus rastros

14

SOLUÇÕES NESTE CAPÍTULO Manipulando dados Log ............................................... ............................... 392 Arquivos escondendo ................................................ ........................................... 397

INTRODUÇÃO Ночь все покрыват. -Provérbio russo: "Night esconde tudo. " (Mertvago, 1995)

Explorar com sucesso um sistema completamente, precisamos ser furtivo e evitar detecção. Nesta fase do jogo, conseguimos evitar a detecção por dispositivos de rede de defesa, tais como firewalls e sistemas de detecção de intrusão. Nosso próximo desafio é para evitar a detecção, enquanto no sistema explorado. Administradores de sistema usam técnicas semelhantes para identificar atividades maliciosas, quando comparado com as defesas da rede. Um administrador de sistema pode examinar log arquivos, instalar aplicativos que prestar atenção para o software malicioso, e configurar monitores que olhar para fluxos de dados não autorizados. Os administradores também podem olhar para os processos em um sistema para ver se algo inadequado está em execução (tal como um backdoor ou aplicação de força bruta) e endurecem seus sistemas de tal forma que qualquer alteração dentro de arquivos essenciais do sistema são impedidos e alertou sobre. Os desafios enfrentados um testador de penetração são inúmeras, mesmo depois de terem explorado com sucesso um sistema de destino. Em um teste de penetração profissional, "Cobertura faixas "é um passo que é feito com pouca freqüência, mas vamos discutir isso em detalhes, no entanto, para que nós entendemos quais os obstáculos que existem, o que pode nos impedir de compreender plenamente a segurança 391 postura de nossa meta. Teste de Invasão profissional Copyright © 2010 by Syngress Press Inc. Todos os direitos de reprodução em qualquer forma reservada.

392 CAPÍTULO 14 Cobrindo seus rastros

Manipulando dados LOG O principal método usado por administradores de sistema quando olhando para maliciosos atividade é o exame de arquivos de log. Existem dois tipos gerais de arquivos de log precisamos estar cientes de -gerado pelo sistema e geradas pelo aplicativo. Dependendo sobre o que estamos fazendo irá determinar qual arquivo de log é preciso preocupação nossa, selves com. Antes de começarmos a manipular arquivos de log, vamos discutir o nosso objetivo final stealth. Temos duas opções ao manipular dados de log. Podemos excluir todo o log ou modificar o conteúdo do arquivo de log. Se excluir o log, podemos garantir que toda a nossa atividade é indetectável. Uma vez que o arquivo de log é removido do sistema, uma administrador terá um tempo extremamente difícil tentar recriar o nosso ataque em seu sistema. Isto é bom se nós precisamos de esconder qualquer traço de quem somos ou onde viemos. Há desvantagens para a exclusão de dados log -detecção. Quando um arquivo de log é excluído, especialmente um sistema de arquivo de log, as chances são o sistema administrador vai notar o evento. Arquivos de log por múltiplas razões -detecção atividade maliciosa é apenas um. Administradores de sistema usam arquivos de log para determinar a Estado e saúde do sistema de referência e os arquivos de log quase imediatamente se parece haver nada de errado no servidor. Se os arquivos de log são subitamente ausente ou o tamanho incorreto, os administradores de sistema normalmente suspeitar de um usuário malintencionado. A segunda opção que temos quando manipular os dados de registro é para alterar dados dentro de um arquivo de registro em si. Se estamos tentando esconder nossas tentativas de elevar os privilégios em um servidor, uma vez bem sucedida, podemos remover qualquer log de dados relacionados com o nosso ataque dentro do log-se, assim, quando um administrador de sistema examina o arquivo de log, eles não vai encontrar os nossos esforços. Há desvantagens para arquivos de log alterando -nós não podemos obter tudo ou podemos remover tanto que as lacunas no log será AVISO Administradores de sistemas tem outra defesa contra usuários mal-intencionados adulteração perceptível. com arquivos de log -servidores remotos de log. Se um administrador do sistema configura seu sistema para todos os logs de transporte fora do sistema para um servidor remoto, especificamente concebida para reter os dados de registro, não há muito que podemos fazer além de encerrar o processo de transferência ou tentar atacar a servidor de log remoto. Se cortar transferências log, corremos o risco de provocar alarmes no log servidor, o que significa que temos sido capturados. . . assumindo alguém está realmente olhando para os logs (Não provável).

Login Usuário Vamos dar uma olhada no que acontece quando alguém logs em um sistema. Figura 14.1 é uma imagem do / Var / log / secure arquivo depois de conectar e elevar privilégios na o LiveCD Hackerdemia.

Manipulação de dados de log 393

Figura 14.1 / Var / log / arquivo seguro no disco Hackerdemia Depois de Login Remoto

O que devemos tomar nota na Figura 14.1 é que a hora do servidor Hackerdemia carimbada nossa tentativa de mudar para a conta root (09:31) e que nós conectados remotamente (pts / 0). Além disso, devemos observar que somente o root tem permissão para gravar a / Var / log / secure arquivo. Isto significa que se queremos manipular os dados de qualquer forma, nós precisa ter privilégios de root. Até podemos ter acesso à conta root e modificar os logs, nossa atividade de login é detectável. TIP Se sabemos que nosso ataque irá gerar dados de log, a gente pode querer esperar até que nós suspeitamos as chances de alguém olhando para o log é mínima, como no fim de semana ou mais tarde à noite. Também é prudente saber exatamente como planejamos obter root depois de um ataque, de modo podemos reduzir a janela de tempo em que pode ser pego.

Vamos dar uma olhada no que acontece se alguém fizer logon no terminal, em vez de remotamente. Figura 14.2 é um screenshot do / Var / log / secure arquivo depois de fazer logon o LiveCD Hackerdemia localmente. Na Figura 14.2, vemos que o nosso su tentativa foi registrada, hora marcada (09:45), e observou a respeito de onde estamos conectados a partir de (vc / 1). Se um administrador de sistema é alerta o suficiente e olha para o / Var / log / secure arquivo, que poderiam detectar o nosso remoto presença. Se a queremos esconder de nós mesmos, precisamos excluir ou alterar o log. Se decidimos excluí-la, vamos remover qualquer vestígio de nossa tentativa de su tentativa; No entanto, ele também irá remover o LOGIN ROOT em "Tty1 ' line, bem como, o que pode ser notado. Se decidirmos alterar o registro e remover o pts / 0 root root- linha, as chances são seremos despercebido. Figura 14.3 é um screenshot do / Var / log / secure arquivo depois nós removemos o pts / 0 root root- linha.


Figura 14.2 / Var / log / Arquivo seguro de disco Hackerdemia Depois Login Local

Figura 14.3 Editado / var / log / Arquivo seguro

Fomos bem sucedidos em esconder nossas faixas? Sim. . . e não. Sim, nós removemos o linha no / Var / log / secure arquivo que capturou nossa tentativa de elevar os privilégios, mas temos um outro problema. Vamos dar uma olhada para trás a Figura 14.1. Se olharmos de perto, vemos que o carimbo de hora no arquivo (09:31) coincide com a data e hora da última linha no log (09:31). Se olharmos para a Figura 14.3 para ver se há alguma diferença, o carimbo de tempo para o arquivo é 10:23, enquanto que a última linha no arquivo de log é marcado 09:47. Para um administrador de sistemas de alerta, as diferenças de carimbos de tempo vai fazer eles suspeitam que alguém tenha sido adulterado o arquivo de log. Se quiséssemos, poderíamos adicionar uma nova linha no arquivo de log, contendo falsos da informação. Figura 14.4 é um exemplo de o que fazer para que os dados log partidas o carimbo de hora do arquivo. Vamos dar uma olhada no que fizemos, linha por linha. root @ Slax: ~ # more / var / log / secure

O mais comando impresso o arquivo, para que pudéssemos ver o que já foi adicionado para o arquivo. A partir dos dados já está presente, podemos escolher para replicar algo similar ou criar novos dados. Vamos usar o tempo passado como um modelo para novos dados.

Manipulação de dados de log 395

FIGURA 14,4 Modificando o arquivo de log e Selos de harmonização Time

root @ Slax: ~ # data Qua Abr 29 11:26:30 GMT 2009

Precisamos saber o que a hora do sistema é, para que possamos corresponder aos dados no registro arquivo com o carimbo de hora do arquivo. Neste exemplo, a hora do sistema é 11:26. root @ Slax: ~ # echo "Abril 29 11:28:08 (nenhum) su [31337]: + vc / 1 rootroot '>> / var / log / secure

Criamos uma linha de dados que irá se misturar com os outros dados no / Var / log / seguro arquivo e dar-lhe um carimbo de tempo futuro. Em seguida, acrescentar os dados no arquivo de log. Temos que escolher algum tempo no futuro para que possamos coincidir com a hora do arquivo carimbo com os dados de log. Nós poderíamos usar qualquer momento próximo, então para este caso, selecionamos tempo apenas alguns minutos de distância: 11:28:08. root @ Slax: ~um # data Qua Abr 29 11:28:08 GMT 2009

Uma vez que verificar o tempo de novo, usando o data comando, vemos que o tempo que usamos para nossos dados log falso corresponde exatamente a hora do sistema (pura sorte em nosso parte). Neste ponto, precisamos ajustar o carimbo de tempo sobre o arquivo, usando o toque comando. Como vemos, o carimbo de hora arquivo corresponde ao selo última vez no arquivo de log. Sucesso! Temos mascarados nossa manipulação do arquivo de log, e espero que possa evitar detecção por um tempo, a menos que o administrador do sistema torna-se suspeita da última entrada de log (que sempre é possível).


Você Owned? Você pode correr, mas não posso esconder Mesmo que esconder a nossa actividade minha manipular o arquivo de log, um administrador de sistema pode ainda detectar a nossa presença, como mostrado na Figura 14.3. O que comando indica que a raiz é conectado ao sistema a partir de dois locais: tty (terminal local) e pts / 0 (um controle remoto terminal). Porque o endereço de protocolo Internet (IP) é listada na conexão remota, o administrador do sistema pode fazer algumas análises e determinar se a ligação é proveniente de um sistema confiável ou não, se não, o administrador pode começar a coletar dados sobre as nossas actividades, e alertando as autoridades é necessário. Só porque nós modificamos os dados de log, não significa podemos efetivamente cobrir nossas faixas.

Logs de aplicativos Aplicações log de dados, bem como, dependendo da configuração do aplicativo. Durante o curso de um teste de penetração profissional, talvez seja necessário realizar uma ataque de força bruta contra um serviço em um sistema remoto. Figura 14.5 é um exemplo de tentativas de login contra o sistema Hackerdemia. Se dermos uma olhada no / Var / log / message arquivo na Figura 14.6, podemos ver que nossas tentativas de conexão sem sucesso foram registrados. Nós também podemos ver na Figura 14.6 que o carimbo de tempo de arquivo corresponde a última entrada, que neste caso é o sistema de injeção de dados, utilizado pela syslogd processo, que

Figura 14.5 As tentativas sem sucesso Login

Arquivos escondendo 397

Figura 14.6 / Var / log / message arquivo de log

"Carimbos" o / Var / log / messages arquivo a cada 20 minutos, para solucionar problemas (Incluindo, para ver se o arquivo foi manipulada). Se precisamos esconder nossa mal sucedida de ataques do registro pela exclusão de dados dentro do / Var / log / messages arquivo (Ao contrário de excluir o arquivo por completo), então precisamos ter cuidado e não remover o -MARK -entradas. Nós provavelmente não terá de se preocupar com a sincronização dos tempo de arquivo do selo com o carimbo de tempo log última entrada, porque syslogd vai fazer isso por nos -o pior cenário é que a nossa tentativa de manipulação de arquivos log é detectado antes que a janela de 20 min passou. AVISO Outro obstáculo para esconder nossas tentativas de login é que o / Var / log / messages arquivo é de propriedade de raiz, que é o único que pode modificar os dados. Até obtermos raiz privilégios, estamos em risco de ser detectado.

Esconder arquivos Durante o curso de um teste de penetração, talvez seja necessário adicionar arquivos e scripts para o explorados sistema. Um exemplo do capítulo 13 é quando instalamos um backdoor usando o netcat. Se quiséssemos fazer a backdoor permanente, nós precisaríamos criar um script e tê-lo cada vez que o lançamento do servidor explorados reiniciado. Se nós não são cuidadosos, um administrador de sistema pode encontrar a nossa scripts e parar o nosso ataque. Para esconder arquivos, podemos fazer algumas coisas diferentes -podemos escondê-lo à vista ou deixar a estrutura do arquivo do sistema operacional fazer o trabalho para nós.


Arquivos escondidos em Plain Sight

Para este exercício, vamos usar o LiveCD Hackerdemia como nosso alvo. Figura 14.7 é um screenshot de todos os scripts executados no servidor Hackerdemia quando botas. No / Etc / rc.d diretório, nós vemos que há vários arquivos que contêm a nome "Netcat". Se examinarmos o primeiro, / Etc/rc.d/rc.netcat1, nós achamos que o script lançará netcat para escutar na porta 1337. Ele também cria o / Tmp / netcat diretório, bem, que contém um par de arquivos (usada pelo / Etc/rc.d/rc.netcat3 e / Etc/rc.d/rc.netcat4 scripts). Para o olho destreinado, o rc.netcat1 nome do arquivo provavelmente vai olhar muito bem, mas a um administrador do sistema, o arquivo provavelmente vai disparar alarmes. Para aplacar a curiosidade de um administrador de sistema que parece neste diretório, precisamos de camuflar a nossa script.

NOTA Muitas das técnicas utilizadas neste capítulo são bem conhecidos para os administradores do sistema; No entanto, ainda é possível esconder a nossa actividade a partir deles, independentemente dos seus conhecimentos e habilidade. No ambiente corporativo de hoje, os administradores de sistema são overtasked e pode apenas estar muito ocupado para tentar pegar o nosso ataque.

Figura 14.8 é o resultado de um scan do Nmap contra o disco Hackerdemia. Um maneira de esconder o nosso script backdoor é encontrar um processo atualmente em execução no alvo sistema que não está presente como um script de start-up.

Figura 14.7 Listagem de diretório do diretório rc.d e conteúdo do arquivo rc.netcat1


Figura 14.8 Nmap Scan de Hackerdemia Server

Embora o inetd daemon é responsável pelo lançamento do File Transfer Serviço de protocolo (FTP) na porta 21, neste caso, FTP também pode ser lançado como um processo separado, fazendo FTP um bom candidato para o nosso script para se mascarar como. O primeiro passo seria mudar o nome do arquivo. Podemos renomeá-lo como arquivo / etc / rc.d / rv.ftpd, que pode ser suficiente para evitar olhares curiosos de tomar uma olhar mais atento. No entanto, a criação do / Tmp / netcat diretório é muito mais conspícuo. Nós podemos modificar o script para criar o diretório de trabalho em um local diferente, com um nome diferente. Para isso, vamos utilizar uma técnica diferente -usando o arquivo sistema para ocultar dados.

Arquivos escondendo Usando o sistema de arquivos

Figura 14.9 é um screenshot de algum inquérito sobre a configuração do FTP e as mudanças feitas para o / Etc/rc.d/rc.netcat1 arquivo. A primeira coisa que precisamos fazer é encontrar um lugar para esconder o nosso script. Vemos que o / Var / ftp diretório contém um diretório de upload, implicando que o / Var / ftp é o diretório de trabalho real para o FTP serviço executado na porta 21.


Figura 14.9 Script Backdoor modificado

Quando olhamos para ver se há alguma coisa na / Etc diretório para ftp, vemos não há nada lá, para os nossos propósitos, o / Etc / ftp diretório irá suite-nos bem. Além de modificar o nome do script (que é agora / Etc / rc.d / rc.ftpd), nós modificou o diretório de trabalho para / Etc / ftp / .data e alterar a porta de conexão para o número 12345. Para ver qual o impacto que essa mudança faz, vamos entrar no backdoor, como visto na Figura 14.10. Nenhuma surpresa -fomos capazes de fazer logon como esperado. Agora vamos ver como nós escondido o arquivo, usando o sistema de arquivos em si. Figura 14.11 é uma listagem dos / Etc / ftp

FIGURA 14,10 Login para Backdoor


FIGURA 14,11 Lista de arquivos no diretório / etc / ftp

diretório. Como podemos ver, os dois primeiros comandos não viu a . Dados diretório. Qualquer arquivo que é preappended com um período está escondido sob circunstâncias normais. O objetivo é manter a desordem para baixo, escondendo arquivos de configuração e tornar mais fácil para os usuários a encontrar os seus próprios arquivos. Existem outros métodos que podemos usar para esconder arquivos, como a utilização de espaços como nomes e alterando permissões em diretórios. Um outro problema é que, porque estamos usando o netcat, um conhecedor administrador do sistema pode detectar a nossa backdoor, examinando os processos em execução em um sistema. Figura 14.12 mostra o que um administrador de sistema pode ver se eles estavam a olhar para a atividade na porta 12345. Não há muito que podemos fazer para mascarar essa outra que alterar o arquivo netcat nome para algo mais. Além do nome do aplicativo, o -E / Bin / sh opção faria a maioria dos administradores de sistema curioso por que um aplicativo gostaria para executar um shell. Figura 14.13 ilustra o que podemos fazer para tornar as coisas um pouco menos óbvia para nós mesmos. Movendo o netcat programa (nc) para um nome diferente (udp), podemos esconder a função de nossa backdoor só um pouquinho. Nós também criar um shell reverso, na esperança de que qualquer um olhar para o processo vai pensar que o processo é de alguma forma ligado a um User Datagram Protocol pesquisa (UDP) ou conexão, em vez de um backdoor. Se nós executamos a nossa backdoor, Figura 14,14 é a saída do processo.

FIGURA 14,12 Lista de Processo Netcat


FIGURA 14,13 Modificando Backdoor

FIGURA 14,14 Informações processo para Backdoor

Esperançosamente, nós temos feito o suficiente para confundir ou desorientar um sistema de administrator de encontrar o nosso backdoor. Ao esconder o diretório de trabalho e mudança nomes para algo que pode parecer esperado ou inócuo, podemos esperançosamente atrasar a detecção.

AVISO Se precisávamos de stealth adicional, provavelmente precisará instalar um rootkit, que raramente é uma opção em um teste de penetração profissional. Tudo o que fizemos até este ponto pode ser facilmente desfeito; a instalação de um rootkit, especialmente desenvolvido por um terceiro, provavelmente requerem o servidor explorados ser reconstruído -uma exigência que pode tornar a cliente muito irado.

Arquivos escondidos em Windows

Antes de concluir este capítulo, vamos dar uma olhada breve em como esconder arquivos em um sistema Windows da Microsoft usando a linha de comando. Figura 14.15 ilustra as etapas necessárias para se esconder um arquivo usando o attrib comando.


FIGURA 14,15 Uso de attrib Comando para ocultar um arquivo

Ao adicionar o escondido atributo a virus.exe, não podemos mais ver o arquivo usando métodos normais. Se fôssemos usar o Windows Explorer interface gráfica do usuário (GUI), também veríamos um diretório vazio. Se emitir o comando tipo virus.exe, vemos que o arquivo ainda existe e pode ser visualizado e executado (se foram um binário real).

Ferramentas e Armadilhas ... Olha! Shiny!

Certifique-se que todos os arquivos ocultos ou diretórios não são deixados para trás no final de uma penetração teste. A menos que os objetos escondidos são documentadas, é fácil esquecer que eles existem -se o oculto arquivos são backdoors, deixando-os no lugar poderia ser um desastre a longo prazo. Não fique distraído no final do teste de penetração e esquecer de limpar todos os arquivos no alvo sistema, não apenas os visíveis.

A mesma coisa pode ser feito com os diretórios, como bem. Figura 14.16 mostra como podemos esconder um diretório, usando as mesmas técnicas que antes, usando o attrib comando.


FIGURA 14,16 Escondendo um Directory no Microsoft Windows

Similar aos exemplos Linux, qualquer aplicação lançada em Microsoft Windows pode ser detectado por olhar para os processos em execução no sistema. Naming de arquivos, e local do diretório de trabalho, precisa ser pensado com antecedência para evitar que nossas atividades de chamar atenção.

RESUMO Testes de penetração profissional requer stealth para evitar a detecção durante os ataques que atravessam a rede de destino, mas raramente envolve faixas cobrindo enquanto em um sistema de destino. Nos casos em que parte do projeto é determinar a capacidade de administradores de sistema para detectar ataques, algumas das técnicas neste capítulo podem ser útil. A decisão de excluir arquivos de log ou modificá-los depende da finalidade para trás escondendo nossas faixas. A exclusão dos arquivos de log se destina a esconder toda a nossa atividade, mas não para esconder a nossa presença, enquanto que a modificação dos arquivos de log é para esconder a nossa presença e, possivelmente, nossa atividade (assumindo que modificar todos os dados à direita). Em ambos os casos, que geralmente precisam elevar o nosso privilégios para as do sistema ou raiz usuário -não é tarefa fácil. Em muitos casos, podemos apenas abrir mão de se preocupar com a nossa cobertura faixas completamente.


As soluções da FAST TRACK Manipulação de dados de log ■

■

■

Se queremos garantir que toda a nossa atividade é irrecuperável, mas não se importam se os nossos presença é detectada, devemos excluir os arquivos de log. Se escolhermos para modificar os arquivos de log, corremos o risco de não remover tudo precisamos ou podemos remover tanto que as lacunas no log será perceptível. Para modificar ou excluir arquivos de log, que normalmente precisa ter privilégios de root. Até podemos ter acesso à conta root, a nossa actividade é detectável login.

Arquivos escondendo ■

Mesmo que muitos administradores de sistemas saber para procurar arquivos ocultos, muitos deles são overtasked e muito ocupado para tentar pegar o nosso ataque.

■

Ao esconder o diretório de trabalho ou mudar nomes de arquivo para algo que Pode parecer esperado ou inócuo, que pode atrasar a detecção.

■

Certifique-se que todos os arquivos ocultos ou diretórios não são deixados para trás no final da um teste de penetração.


Durante um teste de penetração profissional, que tipo de regras devem ser no lugar quando os dados de registro é manipulado ou excluído?

A:

Arquivos de log geralmente contêm dados além de apenas informações de login -maioria dos arquivos de log são pretende fornecer um método de resolução de problemas em um sistema. Por modificação ou exclusão de dados de log, você corre o risco de apagar dados críticos além de informações de login simples. Se os arquivos de log são modificados durante uma pentest, os riscos deve ficar claro para as partes interessadas adequadas e explicadas por escrito dentro do pentest plano. Partes interessadas necessidade de reconhecer a sua compreensão, bem como, antes de qualquer dado de registo é Se eu não posso modificar o log, há alguma outra maneira de esconder as minhas modificado. musicas? Como os arquivos de log contêm informações além da informação apenas login, você pode

Q: A:

gerar mensagens que enterrar ou excluir as suas tentativas de login. Para evitar que um arquivo de encher com dados de registro, os controles são freqüentes em locais para excluir o dados mais antigos log. Se parece que este é o caso de seu alvo, tentar inundar o log arquivos com dados irrelevantes e inócuas. Pode ajudar.


Q: A:

Se não houver nenhuma maneira de modificar os dados de registro e eu não posso inundálo, o que os outros é a alternativa? Se você pode modificar a configuração do aplicativo, você pode ser capaz de redirecionar ou suspender o registro completamente.

Expandir suas habilidades Quer saber sobre cobrindo suas faixas? Os exercícios a seguir destinam-se a fornecê-lo com conhecimentos e competências adicionais, para que você possa compreender este tópico melhor. Use o seu laboratório para realizar os exercícios seguintes.

EXERCÍCIO 14,1 Modificando dados Log 1.

Login no servidor Hackerdemia, usando o nome de usuário raiz e senha toor. Examinar a / Var / log / secure arquivo e examinar o arquivo de log últimos entradas.

2.

Modificar a entrada de login remoto para aparecer como se o login foi local e por outro usuário.

EXERCÍCIO 14,2 Hide Files 1.

Modificar o script / etc/rc.d/rc.netcat3 para ocultar o nome do programa netcat eo diretório de download para combinar bem conhecidos processos ou nomes de arquivos atualmente no servidor Hackerdemia. Modificar o nome do arquivo para download ser escondidos do ls e ls -L comando. Modificar a porta de escuta para uma porta não utilizada.

2.

Executar o script modificado e verificar se netcat está sendo executado no correto porta usando o Nmap. Examinar o processo do sistema para o script netcat.

3.

Conectar à porta 33333 no disco Hackerdemia e upload de um arquivo usando netcat (consulte o Capítulo 13 se necessário). Verifique se o arquivo é transferido e ele corresponde as expectativas.


PARTE

Invólucro Tudo Up

3

Na parte final do livro, vamos nos concentrar na criação de um relatório final para o nosso cliente, limpeza de nosso laboratório para o teste de penetração que vem, e identificando necessidades de formação de membros da equipe de teste de penetração. O relatório final é o culminar de todos os nossos esforços a este ponto -as atividades hacking na Parte II deste livro pode parecer mais emocionante do que escrever um relatório, mas o relatório final é como nós começamos o nosso salário. Nós realmente precisa se concentrar em fornecer informações detalhadas para os nossos clientes, para que eles possam melhorar a sua postura geral de segurança. Além do relatório final, precisamos limpar o nosso laboratório e prepare-se para o nosso próximo projeto. Se temos utilizado malware em nosso laboratório, precisamos prestar especial atenção à sanitização do sistema -qualquer malware residual poderia impactar negativamente nossos próximos esforços. Nós também precisamos pensar sobre o treinamento para quaisquer projetos futuros. Ele sempre sente que o teste de penetração real coberto na parte II é uma pequena fração do projeto de teste toda a penetração.


CAPÍTULO

Comunicação dos resultados

15

SOLUÇÕES NESTE CAPÍTULO O que você deve Report? .................................................. ........................ 410 Relatório Inicial ................................................ ......................................... 414 Relatório Final ................................................ .......................................... 425

INTRODUÇÃO Не то забота что многа работы, а то как ее нет. -Provérbio russo: "Não trabalho é pior do que excesso de trabalho. " (Mertvago, 1995)

Encontrando vulnerabilidades e exploits em um alvo é muito divertido -escrever o descobertas. . . não tanto. Embora os clientes pagaram por um teste de penetração, o que eles realmente querem é o relatório final, que descreve o que está errado e como ela precisa ser corrigido. O cliente não ficar animado quando o teste de penetração engenheiro finalmente obtém uma conta shell root em 3:00 AM numa manhã de sábado depois de passar todo o dia para descobrir o que offset é necessário para tornar um estouro de buffer de trabalho. Os clientes fica animado quando recebem um relatório que vai além sua expectativa em detalhando a postura geral de segurança da sua rede e ou não seus objetivos de negócios são afetados negativamente. Teste de penetração é um trabalho divertido, mas o relatório final requer muita atenção, para que nossos esforços (e da quantidade que são pagos) são justificados aos olhos do cliente. Se nós não documento nossas descobertas para atender as expectativas de nossos clientes, não importa o quão bem nós executamos todas as etapas anteriores no projeto de teste de penetração. Sem documentação decente explicando o impacto nos negócios de nossos achados, os clientes não podem justificar a gastar dinheiro em corrigir vulnerabilidades. Então, o que exatamente deve um teste de penetração profissional contém? O metodologias de dar algumas dicas sobre como preparar relatórios de clientes e que precisa ser incluído. No entanto, não há qualquer método aceitos pela indústria de

409


410 CAPÍTULO 15 Comunicação dos resultados

apresentar resultados para um cliente. A resposta ideal para a questão deve ser "O que quer as necessidades do cliente; "infelizmente, os clientes são geralmente tão familiarizados com testes de penetração que eles não sabem o que esperar, tornando-se difícil para eles para transmitir o seu propósito por trás a contratação de um profissional de penetração equipe de teste. Quando o cliente não tem conhecimento dos benefícios de um teste de penetração, isso significa devemos passar mais tempo com o cliente para descobrir seus objetivos de negócios e como nos encaixamos no seu plano global de segurança.

O QUE VOCÊ RELATÓRIO? Diferentes partes interessadas terão diferentes necessidades de reporting -um Chefe do Executivo Oficial de uma corporação não vai estar interessado em recriar um trenó NOP (usado para injetar códigos maliciosos em um aplicativo), mas o administrador do sistema pode ser. A menos que queira escrever vários relatórios, sob medida para cada indivíduo envolvido no que de juros, devemos identificar exatamente o que precisamos para incluir em nosso relatório e como. A maioria dos teste de penetração relatórios detalham ambas as descobertas de alto nível e de baixo nível explicações sobre as medidas necessárias para repetir as façanhas. Com a inclusão de ambos os níveis de detalhe, os executivos e engenheiros podem se concentrar no que lhes interessa mais, por isso eles podem tomar decisões informadas para a remediação. Algumas organizações preferem dividir o relatório em duas metades de modo que haja menos confusão para cada stakeholder eles podem olhar para o relatório que apenas lhes interessa. Qualquer que seja o método de distribuição nós selecionamos poderia dependem do cliente e suas necessidades, caso contrário, podemos Questões de Âmbito selecionar apenas A parte estranha sobre umestilo. teste de penetração profissional é que parece que o teste qualquer um ternos nosso poderia continuar para sempre. Uma vez que uma vulnerabilidade é explorada, metas adicionais aparecem no o radar -metas, que muitas vezes são mais atraentes do que o sistema apenas explorado. Com tempo e recursos suficientes, uma equipe pentest poderia, teoricamente, explorar todas as sistemas em uma determinada rede. Infelizmente, o tempo e os recursos são finitos, e os objectivos devem ser definidos dentro do projeto de teste de penetração. Isso não significa que durante o curso de pentest o devemos ignorar as vulnerabilidades potenciais que estão fora do nosso projeto escopo -exatamente o contrário. Durante o curso de um teste de penetração, precisamos ser ciente e documentar outras áreas que o nosso cliente precisa examinar em algum data futura. Não só alertar o cliente de um problema em potencial, ele aumenta nossa chance de obtenção de futuros negócios. Há duas conclusões diferentes quando se trata de prazo "Fora do escopo " -o primeiro sendo descobertas que são descobertos durante o curso do teste de penetração em um sistema de destino. O segundo inclui achados que indicam falhas sistêmicas na arquitetura geral. Um exemplo de encontrar uma vulnerabilidade de fora do escopo dentro um sistema seria se nós descobrimos aplicações rodando em um indocumentados

O que você deve Report? 411

sistema que foram incumbidos de fazer varreduras contra Web -gostaríamos de saber porquê os aplicativos estão lá, mesmo que não era algo que foram contratados para examinar. Outro exemplo é se fôssemos encontrar o nosso sistema de destino comunicados com um servidor remoto fora da rede do cliente -uma questão de confiança, os dados sensibilidade, e métodos de criptografia no servidor externo seria uma preocupação, mas aquele que pode ser fora de nosso alcance. Novamente, isto não significa que precisamos para ignorar a descoberta só porque ele está fora do escopo -note a descoberta e incluí-lo em o relatório final como algo que o cliente deve analisar melhor. Uma falha sistêmica na arquitetura global geralmente é algo que pode ser mais de uma suposição de nossa parte, do que algo baseada em factos. Um exemplo seria ser a descoberta de senhas fracas em um sistema de destino. É possível que o único sistema em toda a rede com senhas fracas é a nossa meta, no entanto, há uma chance de que a política de senha corporativa ou forte-password impormento mecanismos estão sendo negligenciados ou prejudicados ao longo de todo infra-estrutura. Nos casos em que acreditamos que uma área específica de preocupação pode ser prevalente em uma arquitetura, precisamos de voz a nossa preocupação com o cliente dentro do nosso relatório final.

Descobertas Quando nós relatório sobre o que foi encontrado durante o curso de um teste de penetração, precisamos para incluir o que foi não encontrados também. Scanners de vulnerabilidade identificar incorretamente vulnerabilidades do sistema, que poderia incluir um cliente sem necessidade. Durante o curso de um teste de penetração, a vulnerabilidade identificada pode ser examinado e considerado em ser um falso positivo. É importante documentar todos os resultados para que o cliente pode compreender a totalidade da sua defesa de segurança -não apenas os pontos fracos. Por identificação de falsos positivos, podemos salvar o cliente algum tempo e dinheiro. AVISO Antes de marcar algo como um falso positivo, precisamos estar 100 por cento de certeza que estamos corretos em nossa avaliação. Incorretamente identificar uma vulnerabilidade pode ser devastador para um cliente, especialmente se a fiscalização não é percebido durante anos.

Resultados também devem ser detalhadas para que os clientes podem repetir os resultados para si ou para contratar terceiros para acompanhamento e corrigir as deficiências. O mais informações incluídas no relatório final, a melhor posicionada do que nós colocamos a nossa clientes para melhorar a sua postura de segurança de acordo com seus objetivos de negócios. Sempre que nós documentamos resultados, corremos o risco de incluir sensíveis informações que não pertencem ao relatório final. É importante lembrar que muitas pessoas terão acesso ao relatório, e as informações sensíveis (como como registros de pessoal, dados proprietários, e-mail e registros legais) precisa ser limpo e higienizado antes da inclusão em todos os relatórios. Em muitos casos, ainda é


necessárias para se referir aos resultados, mesmo se eles são sensíveis por natureza, mas raramente deve informações unsanitized ser incluídos no relatório atual. NOTA Certifique-se que todos os documentos são marcados com classificação de segurança adequada. Em muitos casos, é melhor usar a política de classificação do cliente, por isso, quando o relatório final é liberado, não há confusão quanto à sensibilidade do material.

Haverá momentos em que um precisa encontrar a comunicar imediatamente. Se um sistema tem uma falha de segurança que é uma ameaça imediata ao cliente, o cliente provavelmente quer saber sobre isso mais cedo ou mais tarde. O gerente de projeto deve já tem uma lista de interessados que deve ser contatado imediatamente quando uma ameaça é identificada, dependendo da gravidade e natureza da ameaça.

NOTA Mesmo que uma ameaça é atenuada antes do relatório final é liberada, o achado deve ainda ser observado no relatório. Não só explicar aos interessados que a sua segurança global postura estava em risco e que o teste de penetração teve um "Recompensa", ele também mostra o stakeholders como eficaz a sua resposta de segurança é a ameaças identificadas na rede.

Soluções Acredite ou não, os clientes gostam de ser dito o que fazer. No final de um teste de penetração, os clientes muitas vezes querem saber o sistema de defesa do aplicativo ou rede que necessidade de compra para melhorar a sua postura de segurança e mitigar as vulnerabilidades descobertos durante o curso do teste de penetração. Fornecimento de soluções não é o propósito de um teste de penetração. O objetivo por trás de um relatório de teste de penetração é identificar as vulnerabilidades e fornecer ao cliente uma análise situacional com a mitigação de alto nível múltiplos opções -é de responsabilidade do cliente para formular e implementar as adequadas estratégia de mitigação. A razão que o ônus da gestão estratégica cai no cliente é que os executivos do cliente são os tomadores de decisão e deve saber melhor que o engenheiro de teste de penetração a melhor forma de atender aos objetivos de negócios corporativos. Ao fazer os engenheiros os tomadores de decisão, o cliente corre o risco de opções caras que vontade mitigar o risco, mas pode não estar em alinhamento com os objetivos da empresa.

Preparação do manuscrito O que faz um relatório, na verdade se parece? Resultados do teste de penetração variam imensamente em o formato e seções incluídas no documento. No entanto, o formato da final relatório geralmente seguem as diretrizes manuscrito profissionais, tais como aqueles encontrados em a American Psychological Association Style (APA).

O que você deve Report? 413

Page Title A página de título é bastante auto-explicativo e será uma forma de introduzir o tema do relatório, bem como o autor e organização da equipe de teste de penetração. O página de título é um ótimo lugar para brandir logos e fazer tudo o olhar atraente, mas o objetivo principal da página deve ser o de fornecer uma mensagem clara do que o relatório é sobre. É possível que o cliente terá de penetração múltiplas relatórios de testes em numerosos objetivos, se os relatórios são todos da mesma pentest equipa, a página-título será usada para identificar rapidamente relatórios individuais de cada outras.

Abstrato Para relatórios de testes de penetração profissional, o resumo é o relatório executivo. Gestão muitas vezes precisa de uma breve sinopse para entender os fatos por trás da relatório. O sumário executivo deve haver mais de uma página e contêm análise concisa e descobertas. Gestão executiva irá utilizar esta seção do relatório para tomar decisões, por isso temos um espaço limitado para transmitir a nossa mensagem. Nós deve incluir as nossas conclusões e sugestões de alto nível de mediação em uma lista com marcadores para referência rápida.

Texto O corpo principal do relatório deve conter três elementos -descrição da a rede de destino ou do sistema, as descobertas de vulnerabilidades e de remediação. Quando nós discutir o alvo, devemos incluir a representação gráfica da arquitetura e incluem descrições de cada elemento, incluindo quaisquer dispositivos de rede, tais como firewalls e roteadores. Quando discutimos sistemas de destino, que deve incluir uma alto nível de discussão das aplicações incluídas no sistema e as do sistema função dentro da rede. Grande parte da descrição alvo virá de cliente documentação fornecida, o que é vetado pela equipe de teste de penetração em todo o curso do projeto. Descobertas de vulnerabilidades e opções de remediação deve ser malha juntos cada vez que uma vulnerabilidade é identificada, um ou dois exemplos de alto nível de remediação deve ser fornecido. Devemos também fornecer listas com marcadores de ambos os gruhabilidades e opções de correção no final da seção, que pode ser usado para escrever o sumário executivo. Um exemplo de uma opção de mitigação de alto nível poderia ser a "Turn off serviços desnecessários, "mas nós não lhes daria específicas etapas ou obrigá-los a fazê-lo. Os executivos podem decidir que o risco é gestão capazes e ignorar nossas recomendações. Durante a discussão dos resultados de vulnerabilidade e de remediação, devemos manter tudo em alto nível, em vez de entrar em detalhes sobre como cada grucapacidade foi explorada. As telas e detalhes de como cada vulnerabilidade foi descobertas e exploradas será incluído no apêndice, então a parte principal do o relatório não está confuso com um monte de informações técnicas.


Referências Depois de todas as vulnerabilidades foram discutidas, devemos fornecer a Internet leitor referências sobre as vulnerabilidades. O National Vulnerability Database, localizado na http://nvd.nist.gov, é uma boa escolha. Por referências, incluindo, nós fornecemos terceiros informações que possam apoiar e dar legitimidade aos nossos achados. Terceira fontes do partido, muitas vezes têm dados adicionais que não podemos incluir em nossos próprios relatórios devido a restrições de comprimento.

Apêndices Deve haver pelo menos dois apêndices de cada relatório de ensaio de penetração -uma lista de definições e os eventos passo a passo ao redor de cada vulnerabilidade exploção. A lista de definições é para aqueles interessados que não estão familiarizados com testes de penetração ou até mesmo de Tecnologia da Informação (TI). Fornecendo definições serão facilitar as coisas para o leitor. O apêndice outros que devem ser incluídos no relatório de ensaio de penetração é informações detalhadas sobre como nós exploramos cada vulnerabilidade, de modo que o administradores pode repetir as façanhas ou entender como elas foram feitas. Por fornecer os detalhes de cada exploração, oferecemos provas concretas quanto à segurança postura do alvo.

RELATÓRIO INICIAL Uma vez que tenhamos terminado o nosso teste de penetração e recolhidos todos os dados pertinentes, precisamos para compilar todas as informações em conjunto e criar um relatório preliminar. No entanto, precisamos ter certeza de nossos dados e análise é correta e coerente. A melhor maneira de fortalecer o nosso relatório é através de múltiplas revisões. É difícil suficiente para obter os clientes interessados em ter um teste de penetração, é muito mais fácil de perdê-los se não conseguirmos os nossos factos e as conclusões corretas. Revisões por pares e verificação de fato são passos críticos para o êxito de uma penetração projeto de teste. Todas as vulnerabilidades e exploits discutido em nosso relatório precisa ser repetitivo, eo método usado para explorar um sistema ou rede precisa ser muito detalhado -o administradores de sistema provavelmente irá querer repetir nossos esforços para validar a explora-se. Se o cliente pode repetir nossas descobertas, nossa credibilidade aumenta aos olhos do cliente e permite que o cliente para entender o riscos que enfrentam em suas atividades do dia-a-dia empresarial.

TIP Tratar o relatório inicial, como se fosse o relatório final -se certificar que tudo parece perfeito toda a gramática e ortografia estão corretas, os gráficos são precisos, e os dados são adequadamente transmitida. O relatório inicial não é um rascunho.

Relatório Inicial 415

Após o relatório inicial for concluída, podemos enviá-lo para ser revisado. Em alguns casos, pode querer enviar o relatório para o gerente funcional (assumindo que tem um) e do gerente de projeto de antemão. O gerente funcional vai querer a revisão do relatório para se certificar de que está completa e irá reflectir bem sobre a equipe como um todo, o gerente funcional também pode querer fazer parte da revisão por pares processo e poderá fazer sugestões neste momento em relação ao conteúdo ou fatos dentro do relatório. O gerente de projeto vai querer examinar o relatório inicial bem para fins de garantia de qualidade.

Comentários de pares

Todos nós cometemos erros, principalmente quando escrita. Além de digitação simples erros, há uma chance que nós temos os nossos fatos errados sobre um protocolo particular (Surpresa!). O campo é cheio de detalhes minuciosos, que pode ser mal interpretada por recém-chegados e peritos igualmente. Ela só faz sentido para realizar avaliações pelos pares em nosso relatório de ensaio de penetração antes de ser liberado para o cliente. Se tivermos sorte, teremos vários especialistas no assunto à mão para responder a quaisquer perguntas que possa ter. Essas situações existem, mas muitas vezes engenheiros de teste de penetração deve confiar em seus colegas de trabalho para analisar os relatórios. Além gramaticais e ortográficos, revisões de pares também deve verificar se o descrito arquitetura, vulnerabilidades, exploits, sugestões de mitigação, e protocolo de descriptions são precisos e descritos de forma clara e concisa. Se alguns fatos sobre a arquitetura, sistema ou aplicativo não são claras, porque da falta de dados do cliente, o próximo passo no relatório inicial geralmente esclarecer qualquer confusão. Perguntas que se originam da análise pelos pares devem ser respondidas utilizando a documentação existente (se possível) antes de passar para verificação fato.

Verificação de fato Uma vez que um relatório inicial é escrito e revisado, a equipe de teste de penetração pode oferecer ao cliente a oportunidade de verificar a veracidade da informação. Segundo para a Agência de Segurança Nacional Metodologia Information Assurance (NSA-IAM) (INFOSEC Treinamento e do Programa de Garantia de Avaliação), qualquer avaliação de necessidades para incluir representantes do cliente, incluindo gerentes de nível superior, área funcional representantes, gestores de sistema sênior, sênior e Segurança da Informação (INFOSEC) gestores. Qualquer um destes indivíduos devem ser capazes de fornecer feedback para a equipe de teste de penetração em relação à configuração e implementação do rede do cliente ou, pelo menos, passar o relatório inicial para o funcionário correto para validação dos fatos. Algum nível de cinismo é geralmente assegurada quando permitindo que o cliente correto fatos dentro do relatório de ensaio de penetração. Existem algumas maneiras de apresentar perguntas sobre os fatos a um cliente. Podemos gerar uma lista de perguntas que precisamos resposta ou podemos enviar uma cópia do relatório inicial para o cliente, para que possam verificar todas as declarações dentro do documento.


A vantagem de enviar uma lista de perguntas é que o relatório inicial está intimamente controlada. Há sempre uma possibilidade que o cliente irá distribuir o relatório inicial dentro da empresa do cliente. Porque o relatório ainda está em sua fase inicial, liberando o documento em um estágio inicial é arriscado, porque as conclusões e recomendações pode mudar, dependendo da entrada do cliente para a verificação de fato. A vantagem no envio de todo o relatório inicial é que o cliente pode rever todos os descobertas de precisão não apenas as áreas onde achamos que não entendem alguma coisa. É possível que pensamos que temos uma compreensão da empresa sobre um assunto, apenas para descobrir a partir do cliente que o nosso entendimento é falho. Se nós tivéssemos simplesmente divulgou uma lista de perguntas, nunca teríamos pego o erro até depois da relatório final foi liberado para o cliente.

Notes from the Underground ... Olhos curiosos O método de transferência de dados (especialmente via electrónica) deve ser cuidadosamente pensado de antemão, porque os dados podem conter informações confidenciais ou pelo menos o suficiente informações para comprometer o sistema alvo e rede. Se profissional testadores de penetração pode comprometer o alvo utilizando dados fornecidos pelo cliente, assim também poderia um usuário mal-intencionado intercepta os mesmos dados que recebemos.

Métrica No capítulo 7, discutimos maneiras diferentes para criar métricas dentro de uma penetração teste. Um método foi a utilização de análise de terceiros. Nesta seção, vamos olhar para que opções existem, usando CORE IMPACT e Nessus para fornecer relatórios e métricas.

Nessus Figura 15.1 é um screenshot de uma varredura contra o servidor Nessus pWnOS. Sem ter que ir para as especificidades dos achados, a digitalização Nessus identificou 15 descobertas que são classificados como "Baixo", três "Médio" descobertas, e um "Alta" risco vulnerabilidade. Com base nisso, podemos criar algumas tabelas métricas. A versão seria mais rápida a matriz mais fundamentais encontrados no Sistema de Informação de Avaliação de Segurança de Sistemas Framework (ISSAF), como visto na Figura 15.2. As informações de descrição vem diretamente os resultados da verificação Nessus. A tabela da Figura 15.2 é modificado um pouco para identificar os riscos para a melhor partes interessadas, no entanto, não há informação suficiente prestado ao cliente, para que eles possam priorizar a mitigação do servidor de destino. Há alguns sérios deficiências neste tipo de relatório -o cliente não tem idéia do que a financeira


Figura 15.1 Resultados Nessus Scan

impacto é para cada vulnerabilidade nem têm qualquer leva sobre como mitigar as vulnerabilidades (ou mesmo se eles deveria mitigá-los). Adicionais para fornecer feedback, poderíamos usar uma das matrizes mais complexas. Figura 15.3 é um exemplo de uma matriz de sensibilidade, utilizando o tempo necessário para remediar como um método priorização do risco.

CORE IMPACT Figura 15.4 é uma captura de tela mostrando os diferentes tipos de relatórios que estão disponíveis através da CORE IMPACT. Dependendo das partes interessadas, podemos optar por manter


Risco

Gravidade

Descrição

OpenSSH Debian / OpenSSL pacote de números aleatórios fraqueza gerador

De alto risco

Um invasor pode facilmente obter a parte privada da chave remota e usar isso para configurar e decifrar a sessão remota ou configurar um homem in-the-middle.

Webmin / usermin miniserv.pl divulgação de arquivos arbitrários

Risco médio

O aplicativo contém uma falha lógica que permite que um invasor ler arquivos arbitrários no host afetado.

HTTP trace / TRACK métodos

Risco médio

Funções de depuração estão habilitados no servidor Web remoto.

Figura 15.2 Matriz de Risco Baseado em Nessus Scan

Análise de mitigação

OpenSSH Debian / OpenSSL

HTTP faixa

Webin / usermin

100 horas-homem Tempo necessário para mitigar

Figura 15.3 Análise de Sensibilidade

nosso relatório a um nível elevado ou fornecer detalhes específicos sobre a nossa actividade durante o pentest, incluindo os módulos que foram usados e que aconteceu em cada um. O diferença entre o CORE IMPACT eo relatório Nessus é que os relatórios Nessus na identificação de vulnerabilidades, enquanto relatórios de impacto CORE foco na vulverificação de habilidade. Nosso exemplo primeiro relatório será o sumário executivo. Na Figura 15.5, vemos o relatório sobre a nossa atividade contra o servidor pWnOS. Embora Nessus identificadas inúmeras vulnerabilidades, CORE IMPACT centra-se na exploração


Figura 15.4 Opções de Geração de relatório em CORE IMPACT

vulnerabilidades e não menciona possíveis vulnerabilidades, tais como aqueles encontrados pelo Nessus. O relatório executivo é útil para a gestão de interessados em entender o impacto de alto nível dos resultados. O relatório fornece algumas estatísticas, incluindo do lado do cliente versus rede explorava vulnerabilidades, que podem ser úteis em segurança esforços de treinamento, segurança de aplicativos / appliance compras, ou os esforços de mitigação.

TIP Apenas porque as estatísticas estão incluídos no de terceiros relatórios não significa que devemos incluí-lo em nosso relatório final. Devemos ser prudentes sobre o que adicionar ao nosso relatório, para que não criar informações "Sobrecarga" na stakeholders.

No entanto, o relatório executivo não fornecer informações suficientes para realmente começar a mitigação. Um relatório de vulnerabilidade também está disponível no CORE IMPACT, que fornece uma descrição da explorados vulnerabilidades, como visto na Figura 15.6. Depois de analisar as informações na Figura 15.6, um administrador de sistema ter uma melhor compreensão da vulnerabilidade. Infelizmente, o verdadeiro impacto da a exploração não é explicado. Para entender como o Debian Open Secure Sockets Camada de vulnerabilidade (SSL) foi explorado no teste de penetração, que também pode imprimir Elaborar um relatório de actividade.


Figura 15.5 Relatório Executivo da CORE IMPACT


FIGURA 15,6 Report vulnerabilidade CORE IMPACT

Figura 15.7 por meio Figura 15.9 mostra os passos que demos usando CORE IMPACT para explorar a falha OpenSSL e instalou um shell no servidor pWnOS. Figura 15.7 ilustra a mensagem de erro que recebeu quando tentou explorar o vulnerabilidade diretamente do sistema host (Microsoft Vista). Figura 15.7 também mostra os passos que demos para instalar uma shell remota em um sistema Linux (BackTrack), que usamos para executar o ataque bem sucedido. Figura 15.8 mostra o lançamento do Debian OpenSSL explorar, usando o CORE Shell impacto sobre o sistema BackTrack. Figura 15.9 ilustra a continuação do ataque e seu sucesso Concluindo, o que resultou na instalação de um escudo CORE IMPACT na memória do servidor pWnOS. Resultados detalhados, tais como aqueles encontrados nas Figuras 15,7 por 15,9, não são apenas útil para engenheiros interessados em entender como os impactos da exploração sistema, eles também podem ser usados para análise forense também. Administradores de sistema podem examinar arquivos de log do sistema explorado usando a começar e terminar avisos tempo em o relatório. Os arquivos de log pode dar a administradores de sistemas algumas dicas sobre o que


Figura 15.7 OpenSSL Exploit do Sistema Host


FIGURA 15,8 Lançamento do Debian OpenSSL Exploit


FIGURA 15,9 Exploit OpenSSL sucesso

Relatório Final 425

o ataque parecia de um ponto de vista do sistema, que pode ser usado para desenvolver controles adicionais de segurança dentro da rede.

AVISO Testes de penetração produzem grande quantidade de informação, no entanto, não precisamos adicionar todos os passos que demos durante o curso de pentest o -apenas aqueles que resultaram em descobertas. Aplicativos de terceiros irá documentar tudo e não pode discriminar o que é importante do que é insignificante.

Se não tivéssemos CORE IMPACT para fornecer registros detalhados de eventos, o engenheiro de teste de penetração deve documentar todas as mesmas atividades, incluindo a tela fotos de eventos importantes (como falhas de ataque ou sucessos). Do engenheiro documentação deve ser tão detalhado como os ilustrados nas Figuras 15,7 através 15.9, incluindo carimbos de tempo.


Lidando com valores de risco incorreto Os valores fornecidos por aplicativos de terceiros não deve ser tomado como um evangelho. Como nós descobriu no capítulo 11, o Webmin explorar nos permitiu ver o / Etc / shadow arquivo -um enorme risco. Para refletir esse risco, a gente pode querer mudar os valores de terceiros do "Médio" para "Alta" por causa deste projeto.

RELATÓRIO FINAL O documento final é a razão para tudo o resto falamos nesta livro -para apresentar suas descobertas para o nosso cliente sobre sua postura de segurança usando testar técnicas de penetração. Por agora, devemos ter um documento que é quase pronto para o lançamento. Nesta fase, podemos repetir a avaliação pelos pares, mas a maior tarefa será preparar o relatório para entrega ao cliente. Quando enviamos o final relatório por via electrónica, nós queremos garantir que os dados são enviados de forma confidencial e integralmente intacta.

Comentários de pares

Após a descoberta inicial de fato, muitas vezes é prudente realizar avaliações pelos pares adicionais sobre o relatório. Nesta fase do desenvolvimento do relatório, não deve haver muitas alterações, se houver. Quaisquer alterações significativas nos fatos dentro do relatório deve ser examinados de perto durante esta revisão por pares. Esta é a nossa última chance de corrigir qualquer


erros gramaticais, aperte a nossa prosa, e limpar quaisquer gráficos que criamos para apresentar melhor nossos achados. A revisão pelos pares anterior ocorreu antes do fato adicionais encontrar esforços começaram com o cliente. Esta rodada de avaliações pelos pares terá de analisar as mudanças que foram feitas com base na discussão com o cliente e também deve incluir uma "Sanidade check "das mudanças. Se perguntas adicionais são gerados pelos pares, o engenheiro de teste de penetração pode fazer pesquisas adicionais a partir existentes documentação ou repetir o fato de verificar passo. Eventualmente, todas as informações serão precisos, eo relatório pode ser enviado para o gerente funcional e gerente de projeto para análise e eventual liberação.

Documentação Porque não há qualquer método aceitos pela indústria de apresentar resultados para um cliente, nós somos livres para criar o nosso relatório final em qualquer formato, embora o que nós preferem não pode ser o que o cliente espera (ou dispostos a pagar por). A maioria dos clientes são confortáveis com o recebimento de relatórios impressos, documentos do Microsoft Word, ou Formato da Adobe Portable Document Format (PDF). Há vantagens em cada um, mas uma formato tende a ser o mais conveniente para testadores de penetração profissional Adobe PDF. Quando criamos um documento detalhando os sistemas vulneráveis, queremos uma forma para proteger os dados. Adobe Acrobat Professional tem características que garantem a confidencialidade e integridade do nosso relatório final. A implementação de segurança primeiro vamos invocar está fornecendo integridade para nossa documentação, o que alerta das partes interessadas, se alguém tentar modificar nossos achados. É possível que alguns partes interessadas ficarão desapontados com os nossos achados (se não francamente hostil); por adição de verificação de integridade com o relatório final, podemos garantir o nosso relatório final é propagadas sem adulteração. Figura 15.10 é o primeiro passo na criação de um documento certificado. Seremos criar o nosso próprio certificado, mas se nós queríamos um fornecedor de terceiros para ser o autoridade de certificação, podemos escolher um, selecionando Obter DigitalID da Adobe Parceiro. Se já temos um certificado digital, podemos usá-lo para assinar o nosso documento. Neste exemplo, vamos criar um novo certificado auto-assinado, conforme indicado na Figura 15.11. A identificar-nos dentro da certificação, é preciso acrescentar algumas informações, como pode ser visto na Figura 15.12. Podemos também selecionar o algoritmo de criptografia. Em nossa exemplo, vamos ficar com o padrão -RSA de 1024 bits. Precisamos adicionar uma senha para o certificado para uso futuro, como visto na Figura 15.13. A senha é para nosso próprio uso pessoal e não algo que deve ser dada aos outros. Qualquer outra pessoa que obtém a senha do certificado pode assinar documentos como se fosse o dono do certificado. Figura 15.14 é o certificado digital recém-criado, que pode ser adicionado à nosso relatório final. Existem algumas opções adicionais sobre as alterações à nossa


FIGURA 15,10 Certificar um documento Adobe PDF

FIGURA 15,11 Selecionando uma Opção de Certificado


FIGURA 15,12 Adicionando informações pessoais em auto-assinados Certificado Digital

FIGURA 15,13 Protegendo o certificado com uma senha


FIGURA 15,14 Certificado Digital

documento final. A opção padrão é permitir que alguém para preencher formulários dentro do relatório ou adicionar uma assinatura. Figura 15.15 é o nosso documento com o certificado digital no lugar. Como podemos ver, este relatório indica que o documento é digitalmente certificado e não foi modificada (que remete para o preenchimento de formulários ou a adição de uma assinatura). Temos efetivamente adicionado uma forma de garantir a integridade do nosso relatório final. Nosso próximo passo é garantir a confidencialidade das nossas descobertas, através da criação de um envelope de segurança dentro do aplicativo Adobe Acrobat Professional. Nós pode selecionar quais arquivos que deseja incluir no envelope de segurança, como visto na Figura 15.16. A aparência final pode variar, dependendo das necessidades de distribuição. Para este exemplo, vamos selecionar um tempo de envelope de segurança estampadas, como visto na Figura 15.17.


FIGURA 15,15 Status da assinatura de validação sobre o Relatório Final

FIGURA 15,16 Selecionando Arquivo para a Inclusão em Envelope de Segurança


FIGURA 15,17 Selecionando Envelope de Segurança, com carimbo de tempo

Porque estamos incluindo um carimbo de tempo, pode ser necessário para enviar o documento imediatamente. Vamos esperar e optar por enviar o envelope de segurança em um momento posterior, como pode ser visto na Figura 15.18. Nós podemos assinar o documento usando o certificado público do destinatário chave, se ter um. Esta é uma opção melhor do que "Usando senhas, "porque temos que enviar a senha de forma segura, o que só complica as coisas. No entanto, porque nós não ter um certificado de chave pública para uso, vamos proteger o documento utilizando uma senha, como pode ser visto na Figura 15.19. Figura 15.20 ilustra como podemos salvar o nosso método de criptografia para uso futuro. Isto é especialmente útil se tivéssemos a chave pública do destinatário, porque salvar o método de criptografia que eliminaria a necessidade de re-introduzir o certificado público em um data posterior. Na Figura 15.21, vemos que o documento será criptografado em 128 bits Advanced Encryption Standard (AES) e criptografar arquivos anexos somente (que inclui o nosso relatório final). Nós também podemos fornecer nossa senha de criptografia neste momento. Na Figura 15.22, nos é dada a opção para confirmar a senha, impedindo erros na codificação final.


FIGURA 15,18 Opções de entrega de envelope de segurança

FIGURA 15,19 Método de selecção da Criptografia


FIGURA 15,20 Método de criptografia de poupança

FIGURA 15,21 Opções de criptografia e senha Definição

O resumo da nossa actividade método de criptografia é apresentado na Figura 15.23. Como uma recapitulação, decidimos usar uma senha para criptografar o envelope de segurança. Uma vez que temos o método de criptografia selecionado, que pode cifrar a nossa segurança documento. Figura 15,24 inclui informação inserida no envelope de segurança para que os destinatários podem identificar o remetente.


FIGURA 15,22 Confirmando Password

FIGURA 15,23 Resumo método de criptografia

Figura 15.25 mostra quais arquivos foram incluídas no envelope de segurança, que é o nosso relatório final. Figura 15.26 é uma captura de tela do produto final em nossas tentativas para assegurar confidencialidade do nosso relatório final. O envelope de segurança é um arquivo PDF que requer uma senha para abrir, como visto na Figura 15.27.


FIGURA 15,24 Inserção de dados no Envelope Sender Segurança

FIGURA 15,25 Criando com sucesso Envelope de Segurança para o Relatório Final


De:

Thomas Wilhelm 2009/05/01 01:07:31

Para:

ePaper

Valorizados ao Cliente, No entanto, comprometida PWND, EUA

Correio

FIGURA 15,26 Envelope de segurança PDF

FIGURA 15,27 Pedir senha para ler PDF Envelope de Segurança

A senha necessária para abrir o PDF envelope de segurança que contém a final relatório é o mesmo fornecido nas Figuras 15,21 e 15,22. Figura 15.28 é o resumo de segurança do nosso relatório final após ter sido aberto usando a senha. Agora temos um documento que atenda os requisitos de confidencialidade e integridade para a liberação. Podemos e-mail o relatório final com as partes interessadas adequadas, sem medo de adulteração ou acesso não autorizado. Nós também podemos usar as mesmas técnicas de quaisquer outros documentos que enviamos ou receber, incluindo projetos de arquitetura, interrogatórios, ou a documentação necessária para o teste de penetração.

Sumário 437

FIGURA 15,28 Document Security Settings Summary

RESUMO O relatório final é o culminar de um monte de tempo e recursos gastos derramando sobre a documentação do cliente, coleta de informações, identificar e explorar vulnerabilidades, e privilégios elevar. Para as partes interessadas, o relatório final é um oportunidade de entender a postura geral de segurança de seus sistemas ou rede.


Porque os interessados irão tomar decisões de negócios com base em nosso relatório, precisamos para ter certeza que é precisa e significativa. A precisão do nosso relatório pode ser fortalecidas pelas análises interpares e validado pelas partes interessadas durante a verificação de fato. No entanto, não devemos ter medo para relatar descobertas que são desafiados durante a fase de verificação fato de escrever a nossa relatório -algumas partes interessadas será desafio não descobertas porque os resultados são incorreto, mas porque faz o stakeholder ficar mal. Se os nossos resultados são contestados pelas partes interessadas, que devem revalidar o nosso descobertas. Se os nossos resultados ainda são contrários às opiniões das partes interessadas, que deve publicá-los sem modificações. Os interessados podem se decepcionar, mas estamos paga para o nosso conhecimento, habilidade e ética. É melhor para irritar e perder um cliente do que para fornecer resultados falsos.

As soluções da FAST TRACK O que você deve Report? ■

Teste de penetração relatórios detalham os resultados de alto nível e de baixo nível explicações sobre as medidas necessárias para repetir as façanhas.

■

Os resultados positivos e falso-positivos devem ser incluídos no relatório final.

■

Antes de marcar algo como um falso positivo, precisamos estar 100 por cento de certeza que estamos corretos em nossa avaliação.

■

Mesmo que uma ameaça é atenuada antes do relatório final é liberado, a constatação ainda deve ser observado no relatório.

Relatório Inicial ■

Tratar o relatório inicial, como se fosse o relatório final -o relatório inicial não é um rascunho.

■

Formato do relatório final geralmente acompanha manuscrito profissional diretrizes.

Relatório Final ■

■

Os administradores de sistema pode melhorar a segurança do sistema, examinando arquivos de log do sistema de exploração que correspondem aos eventos listados na exploração o relatório final. Quando criamos um documento detalhando os sistemas vulneráveis, precisamos assegurar a confidencialidade e integridade do relatório final.



Durante um teste de penetração, devo relatar todas as vulnerabilidades, mesmo que sejam menor?

A:

Só porque uma vulnerabilidade do sistema pode ser menor agora, uma exploração pode ser ao virar da esquina. O propósito de vulnerabilidades listagem no final relatório é tão gestão do cliente pode tomar decisões informadas sobre como melhor para garantir a rede ou sistema alvo. Por não incluir uma vulnerabilidade, você está efetivamente a tomada de decisões em seu nome; incluir todos os vulhabilidades, não importa quão pequena.

Q:

Como perto de um relatório deve coincidir com a formatação detalhada neste capítulo?

A:

O formato APA é projetado para fornecer informações de forma concisa e clara peer método e foi revisado por muitos anos. A penetração relatório de ensaio é fornecer os resultados cliente precisa; ela só faz sentido que a entrega da mensagem é executada de forma clara e concisa maneira.

Q:

Você indicou que o resumo em um teste de penetração é chamado de um executivo sumário -o que deve a área de texto ser chamado? As diferentes áreas em um relatório será chamado coisas diferentes, dependendo quem está escrevendo. Eu vi o corpo do texto em azulejo muitas coisas diferentes, incluindo "Descobertas", "descobertas", e "Sinopse". Se estivéssemos escrevendo para um revista científica, os tópicos no papel seria muito bem definidos. No entanto, não estamos limitados por essas formalidades, ou seja, os diferentes áreas podem ser intitulado o que quer que você gosta.

A:

Q: A:

Eu não trabalho em uma equipe de teste de penetração -que posso encontrar para realizar um peer revisão? Se você ainda não se juntou a uma organização de segurança local de informação, agora é a tempo. Além das reuniões informação-embalado segurança da informação, organizações oferecem oportunidades de networking. As possibilidades são, você pode encontrar alguém no grupo que está disposto a fazer avaliações pelos pares. Não espere que eles para fazê-lo gratuitamente, você recebe o que você paga.

Expandir suas habilidades Quer saber sobre comunicação de resultados? Os exercícios a seguir destinam-se a fornecê-lo com conhecimentos e competências adicionais, para que você possa compreender este tópico melhor. Use o seu laboratório para realizar os exercícios seguintes.


EXERCÍCIO 15,1 Criar um relatório de teste simples Penetração 1.

2.

Pesquisar na Internet para idéias sobre o que um relatório de ensaio de penetração profissional deve ser parecida. Fornecer o uniform resource locator (URL) de pelo menos dois exemplos. Criar um modelo de relatório, usando o Microsoft Word ou OpenOffice. O modelo deve incluir uma página de título, uma página do relatório executivo, a principal corpo do texto, uma conclusão, um apêndice, apêndice b, e uma página de referência. Personalize o relatório para sua própria satisfação, não use os exemplos encontrado na etapa 1.

3.

Usando a arquitetura ilustrada no capítulo 13, na Figura 13.10, descrever o arquitetura. Incluir todas as portas de comunicação identificados disponíveis no Hackerdemia servidor e as configurações de firewall host (visto na Figura 13.12). Omitir o netcat ouvintes da descrição. Adicionar a arquitetura descrição para o corpo principal do texto em seu relatório.

4.

Fornecer uma análise de alto nível de pelo menos cinco comunicação diferente portas encontrado no servidor Hackerdemia. Fornecer uma lista de suas conclusões e uma lista adicional com marcadores de maneiras para diminuir os cinco comportas de comunicação. Incluir pelo menos duas opções de mitigação para diferentes cada porta.

5.

Suponha que um shell netcat reversa foi instalado no Hackerdemia servidor, como ilustrado na Figura 13.11, utilizando técnicas de engenharia social. Crie uma cenário que descreve a façanha em um alto nível -a descrição deve ser pelo menos dois parágrafos. Adicione a sua descoberta aos listados em formato de bala no passo 4.

6.

Fornecer pelo menos três maneiras de mitigar a vulnerabilidade detalhada na etapa 5, e adicioná-los como uma lista com marcadores para o corpo principal do texto, como descrito na etapa 4. Escrever uma conclusão, explicando o risco global do servidor Hackerdemia, com base em suas descobertas.

7. 8.

Recriar o Secure Shell shell reverso (SSH), descrito no Capítulo 13 e ilustrada na Figura 13.6. Gravar todas as teclas usando o script aplicação, salvando-os em um arquivo. Adicionar a saída do script para o apêndice A do seu relatório.

9.

Criar uma lista de siglas usadas em seu relatório. Adicioná-los ao apêndice B.

10. Encontrar referências na internet relacionados a suas descobertas a partir do passo 4 e o passo 5.

Referências 441

EXERCÍCIO 15,2 Criar Metrics 1.

Com base na informação recolhida no Exercício 15.1, fornecer uma árvore de decisão gráfico de análise descrevendo suas sugestões de mitigação.

2.

Realizar uma varredura contra o servidor Nessus Hackerdemia. Criar uma sensibilidade matriz, utilizando pelo menos cinco conclusões diferentes. Uso "Tempo para mitigar ", como o medição do impacto.

EXERCÍCIO 15,3 Apresentar seu relatório para a Avaliação por ParesIr para http://forums.heorot.net e apresentar o seu relatório na "Capítulo 15 " 1. 2.

fórum, localizado no "Professional Teste de penetração do livro "seção. Realizar uma revisão por pares em um relatório já apresentado e pós a sua resposta como resposta. Seja construtivo em seus comentários.

Referências Garantia INFOSEC Programa de Treinamento e Avaliação (IATRP). (2007). Garantia da informação módulo de metodologia,. Obtido em www.iatrp.com/modules/ppt/IAM_Module_2_ student_vr_30.ppt Mertvago, P. (1995). O dicionário Russo-Inglês comparativa de provérbios russos e provérbios. New York: Livros Hippocrene.


CAPÍTULO

O arquivamento de dados

16

SOLUÇÕES NESTE CAPÍTULO Você deve manter dados? .................................................. ........................... 443 Documentação assegurar ................................................ ........................... 447

INTRODUÇÃO В запас не наглядишься. -Provérbio russo: "Uma não pode evitar tudo ". (Mertvago, 1995)

Durante o curso de um projeto de teste de penetração, uma grande quantidade de documentação fica salvo pelo pentest engenheiros -documentos do vendedor, os documentos do cliente, protocolo documentos, relatórios inicial, relatórios finais, e-mails, e tudo o que é gravado durante essa ataca o sistema real. A maioria destes dados não precisam ser retidos na o fim de um teste de penetração, exceto por algumas razões distintas. Um gerente de projeto que coloca muito valor em dados recolhidos, se é para compilar métricas ou outros fins, pode querer guardar tudo. Para alguns gestores, tendo todos os dados disponíveis, quando necessário é melhor do que não tê-la em todos. No entanto, o risco de acesso não autorizado aos dados é inexistente, se nenhum dos os dados são arquivados. Se a decisão for para arquivar dados de teste de penetração, mesmo que seja apenas o final relatório, existem alguns problemas de segurança que precisam ser abordadas, como o acesso controles, métodos de arquivamento, localização dos dados arquivados, e destruição políticas.

VOCÊ DEVE MANTER DADOS? Há duas escolas de pensamento sobre retenção de dados de teste de penetração -manter tudo ou nada manter. Aqueles que defendem "Manter tudo "quer


444 CAPÍTULO 16 O arquivamento de dados

responder às consultas dos clientes a qualquer momento, mesmo que seja anos depois; retendo dados, a equipe de teste de penetração pode reconstruir eventos e proporcionar muito mais respostas detalhadas de depender estritamente sobre os relatórios de idade. Aqueles que defendem "Manter nada "não quer arriscar perder os dados do cliente por meio eletrônico ou roubo física. Também, por nós não retenção de dados, o cliente não precisa se preocupar sobre a proteção em torno de dados sensíveis que reside fora do local. Mesmo se nós não querem a responsabilidade (e altos custos) necessários para garantir teste de penetração de dados para armazenamento de longo prazo, vamos precisar de, pelo menos, entender algumas das questões jurídicas questões.

Questões Legais Parece que uma equipe de testes de penetração não precisaria se preocupar legal questões e de retenção de dados, uma vez que todos os dados que coletamos é realmente de dados do cliente; a realidade é que as pessoas fazem coisas ruins em computadores e, finalmente, o pentest engenheiros vão tropeçar dados ou atividades que exigem contato com a lei aplicação da lei. Compreensão das questões legais antes de entrar em um teste de penetração ajudará a preservar as provas. Porque as leis locais variam muito de estado para estado e município para município, vamos nos concentrar nos requisitos federal neste livro. Um ponto de partida para compreensão "O que para relatar e quando "é o United States Department of Justiça Crime Computer (USDOJ) e Seção de Propriedade Intelectual (CCIPS), encontrado em www.usdoj.gov / criminal / cibercrime / reporting.htm.

TIP Apesar de nos concentrarmos apenas na lei federal, isso não implica que não precisa se preocupar sobre as leis locais. A maioria das descobertas de atividades ilegais vai exigir a aplicação da lei local envolvimento de uma maneira ou de outra.

Tabela 16.1 descreve as áreas identificadas como cibercrime, de acordo com a USDOJ, que deve ser relatado às agências policiais federais. Dados que está determinada a ser uma evidência por uma agência de aplicação da lei será confiscados, juntamente com o sistema que hospeda os dados, para manter a integridade do cadeia de custódia, embora o confisco de sistemas podem ter um impacto negativo em nosso cliente, nossos sistemas não deve fazer parte de provas. No entanto, desde o engenheiro de teste de penetração foi a pessoa que encontrou os dados em primeiro lugar, as chances são de que o engenheiro será chamado como testemunha, se o caso criminal vai para tribunal. Para se preparar para tribunal, o engenheiro deve manter todos os dados relacionados com pentest (não os dados criminal) até que o processo criminal seja concluído, especialmente todas as atividades que levou à descoberta do crime.

Você deve manter dados? 445

Tabela 16.1 Cibercrime USDOJ Atividade Criminal

Reportagem da Agência

Intrusão do computador (isto é, hacking)

■

FBI escritório local

■

U. S. Secret Service

■

Internet Crime Complaint Center

Falsificação de moeda

■

U. S. Secret Service

Pornografia infantil ou exploração

■


■

U. S. Immigration and Customs Enforcement (No caso de importação)

■


Exploração infantil e questões de fraude Internet que têm um nexo mail

■

U. S. Postal Inspection Service

■


Fraude na Internet e spam

■


■

U. S. Secret Service (Divisão de Crimes Financeiros)

■

Federal Trade Commission

■ Títulos de fraude ou de investimento relacionados com Securities and Exchange Commission spam ■ O Internet Crime Complaint Center e-mails

Assédio Internet

■


Bomba de ameaças da Internet

■


■

Escritório local ATF

Tráfico de dispositivos explosivos ou incendiários ou ■ FBI escritório local armas de fogo pela Internet ■ Escritório local ATF Pirataria de direitos autorais (por exemplo, software, ■filme, FBI escritório de campo local gravações de som) ■ U. S. Immigration and Customs Enforcement

Falsificação de marcas

Roubo de segredos comerciais

■


■

FBI escritório de campo local

■

U. S. Immigration and Customs Enforcement

■


■

FBI escritório de campo local

NOTA É difícil lembrar de eventos com precisão em tribunal, ter documentação detalhada em todas as etapas executadas pelo engenheiro durante o curso do teste de penetração irá reduzir a chance de erros a ser feitos no estande.


E-mail Gerentes de projeto e engenheiros pentest pode gerar um monte de e-mails durante o curso de um teste de penetração -a maioria dos e-mails serão agendamento e de recursos discussões. No entanto, alguns e-mails irá conter dados confidenciais que devem ser protegidas, especialmente quando arquivados. Nos casos em que o próprio e-mail deve ser mantido (ao contrário de arquivos anexados) após a conclusão de um projeto de teste de penetração, que pode armazenar o e-mail sobre o servidor de correio electrónico ou arquivar o e-mail localmente. Armazenar os e-mails no servidor de e-mail fornece um único local para examinar se é necessário encontrar um velho e-mail, fazendo recuperação mais fácil. Arquivamento de e-mail localmente requer trabalho adicional, já que cada usuário sistema deve ser consultado. Os problemas surgem quando os dados local está perdido, os sistemas são substituído, ou empregados deixam a empresa. Independentemente do método utilizado para manter e-mails, se e-mail contendo sensíveis informação é retida por qualquer período de tempo, criptografia adequada e acesso mecanismos de controle devem estar no local para evitar a divulgação acidental de cliente de dados. Mais modernas aplicações de correio electrónico têm maneiras de criptografar e-mail comunitelecomunicações, seja em repouso ou em trânsito. O uso de criptografia é freqüentemente realizada nos bastidores pelo cliente de e-mail ou servidor e é bastante simples de implementar. Simple Mail Transfer Protocol (SMTP) é um protocolo inerentemente inseguro, melhorar a segurança dos dados transferidos através SMTP, e-mail programas usam criptografia adicional. Como um exemplo, e-mail da Microsoft servidor pode utilizar Transport Layer Security (TLS) para criar uma chave pública / privada, que pode criptografar a sessão de comunicação, enquanto mail está sendo transferida de um servidor de correio electrónico para outro.

Ferramentas e Armadilhas ... Você Owned?

Quando um funcionário sai, o que acontece ao seu e-mail? Muitos funcionários fazer cópias de seus e-mails corporativos antes de sair de uma organização, para que eles possam reter contatos e uma história de seu tempo gasto na antiga empresa. Se o e-mail contém sensíveis ou informações proprietárias, a empresa está exposta a inúmeros riscos.

Resultados e relatórios Acesso à informação sobre as vulnerabilidades e exploits identificadas durante a curso de um teste de penetração deve ser rigidamente controlado. Se decidirmos que queremos manter pentest dados, precisamos ter certeza de que vamos implementar confidencialidade e controles para impedir a disponibilidade de pessoal não autorizados obtenham o da informação.

Protegendo Documentação 447

Há um par de razões pelas quais gostaríamos de reter descobertas de idade e relatórios. Não é incomum para os clientes misplace relatórios históricos. Contas, muitas vezes solicitação de documentos históricos relacionados a avaliações de segurança, e se o cliente não pode provê-los, os auditores irão fazer a anotação da falta de documentação em seus relatórios de auditoria. Mesmo que o cliente não precisa o documento para os auditores, relatórios de testes de penetração futuro vai nos ajudar a reavaliar a postura de segurança do cliente, se o cliente não tem uma cópia do relatório e não conseguimos manter a nossa própria cópia, então vamos começar do zero. TIP Retenção descobertas também oferece alguma proteção contra futuras acusações. Se um cliente está comprometido meses ou anos depois foi realizado um teste de penetração em seus rede, eles podem não lembrar de nossos achados advertências em torno do projeto. Para impedir que a culpa não caia sobre nossas "Falta de due diligence ", arquivamento conclusões e relatórios podem redirecionar a falhas para a parte apropriada.

PROTEÇÃO DA DOCUMENTAÇÃO Se os documentos relacionados com a arquitetura de rede de destino caiu nas mãos de hackers mal-intencionados, o cliente estaria em risco -se as vulnerabilidades identificadas e façanhas foram incluídas nos documentos comprometida, o cliente pode ser severamente afetado, dependendo da sensibilidade dos dados. No Capítulo 15, discutimos métodos de criptografar o relatório final antes envio de cópias aos interessados. Nós criptografado dos documentos usando senha proteção para garantir a confidencialidade. Toda a documentação e os dados de teste de penetração que coletam e armazenam precisa ter a mesma proteção mínima. Podemos ou criptografar os dados em si ou criptografar os dados do sistema reside. Se quisermos para criptografar os dados, poderíamos selecionar criptografia de senha ou certificado criptografia. Usamos Adobe Acrobat Professional para criptografar o relatório final em Capítulo 15, e nós provavelmente poderia usá-lo novamente para garantir nossos dados teste de penetração também. Ou poderíamos usar OpenSSH e OpenSSL para fornecer o mesmo nível de criptografia para todos os nossos dados gerados durante o pentest. Outra alternativa é criptografar o sistema que armazena os dados usando disco cheio criptografia, que também pode usar ambos os certificados e senhas para proteger os dados em repouso, semelhante ao Adobe Acrobat Professional. A vantagem de criptografar o sistema que armazena os dados é que uma vez que um usuário tenha validado a si mesmo para o sistema, todos os documentos armazenados nos dados podem ser visualizados sem a necessidade de adicionais senhas (supondo que os arquivos em si não tem criptografia adicional mecanismos). Outra vantagem da criptografia completa de disco é que as senhas pode ser facilmente alterado, de acordo com as diretivas de senha. Alteração de senhas em grandes quantidades de documentos criptografados individualmente pode ser uma empresa enorme, especialmente se nenhum processo de gestão de controle de mudanças existe.


Controla o acesso Se decidirmos usar criptografia completa de disco com dados de teste seguro de penetração, podemos usar os mecanismos de controle de acesso disponíveis no sistema operacional do sistema host. Sistemas operacionais mais modernos podem ser configurados para usar um único, de dois e três autenticação de dois fatores. Usando a autenticação multifatores irá fornecer um alto nível de confidencialidade de todos os dados sensíveis que coletamos durante o nosso teste de penetração projetos. A desvantagem de usar o sistema operacional em si é que patch mecanismos de defesa e gestão de rede devem estar no local para evitar acesso não autorizado. Se decidirmos para criptografar arquivos individuais, o risco de um comprometimento do sistema não é tão significativo, uma vez que os documentos ainda estão protegidos. No caso onde encriptar documentos individuais, controle de acesso torna-se muito mais difícil. Senhas ou certificados capaz de descriptografar os arquivos devem estar devidamente protegidos e restrito somente funcionários autorizados, e se há alguma rotatividade de pessoal, senhas podem tem que ser alterado, acrescentando trabalho adicional.

Métodos de arquivamento A maneira mais conveniente de armazenamento de dados é para retê-lo no disco rígido do sistema. Apesar do tamanho do disco rígido estão crescendo em capacidade, não pode nem sempre ser possível armazenar todos os nossos dados em um sistema. Nos casos em que precisamos dos dados do arquivo, precisamos estar cientes das implicações de segurança. Se usarmos a mídia de arquivamento, como fitas ou discos ópticos, devemos estar confiantes em nossa capacidade de recuperar os dados em uma data posterior, e que a criptografia pode ser invertida. Perda de dados de arquivo pode ser resultado de mau funcionamento e configuração incorreta de sistemas de arquivamento. Qualquer procedimento de arquivamento deve verificar se os dados foram corretamente transferido e pode ser restaurado. Quando criptografar arquivos individuais e arquivá-los, não pode precisar recuperar os dados por meses ou mesmo anos. É penoso para tentar recuperar um senha usada em um arquivo que foi arquivado anos atrás. A menos que haja uma gestão AVISO Sistemas automáticos de arquivos apresentam umpodemos problema diferente. Embora os asistemas processo para armazenar e acessar senhas de idade, também descartar freqüentemente usam certificados, que podem ser armazenados em uma mídia removível e garantiu de dados, ao invés de arquivá-lo. forma segura localização, há uma chance de que o sistema de arquivo se torna inutilizável. Se um similar sistema de arquivamento não está disponível como um substituto, os dados arquivados podem não ser recuperáveis, devido a incompatibilidades entre os fornecedores de sistemas de arquivo, mesmo que o certificado ainda está disponível.

O melhor método de arquivamento de dados irá variar, dependendo dos recursos. Para pequenas organizações, o arquivamento de arquivos criptografados em discos ópticos pode ser uma tarefa fácil

Protegendo Documentação 449

e método eficaz de proteger os dados do cliente. Para grandes organizações que gerar volumes de relatórios para vários clientes, backup de fita remota pode fazer mais sentido. Independentemente da escolha, os mecanismos de proteção de segurança deve fornecer confidencialidade suficiente, a disponibilidade ea integridade de nossos dados.

Locais de arquivamento Se planejamos arquivamento de dados, precisamos de pensar sobre recuperação de desastres e planejamento de continuidade de negócios, que pode se tornar bastante complicado, pois os riscos são identificadas no processo de arquivamento. Vamos dizer que queremos para arquivar dados; armazenar arquivamento de dados na mesma sala ou edifício como o sistema que é utilizado para manter o de dados é normalmente uma má idéia. Decidimos que os dados de teste de penetração arquivados necessidade de ser armazenados em uma instalação segura que está geograficamente diferentes do local de o sistema que está sendo arquivado devido à ameaça sempre presente de naturais e artificiais desastres. Outra consideração é que precisamos de duas cópias -um relocated em outros lugares, e outro local, caso seja necessário o acesso rápido.

Você Owned? Dados Nightmare Arquivo Uma vez tive uma conversa com um administrador de rede de uma loja de desenvolvimento de software sobre seu processo de arquivamento do servidor de repositório corporativo de desenvolvimento de software. Ele tinha sido arquivamento de dados por anos e sentiu seus dados era seguro. Os dados nunca tinha sido verificada de integridade, mas porque o sistema de fita de arquivamento mantido indicando que os backups foram bem sucedida, tudo estava bem. Fizemos um teste e descobri que a maioria das fitas foram em branco. Acontece que o administrador do sistema tinha desligado o cliente de arquivamento no código sistema de repositório porque "Ele retardou o sistema para baixo ", o administrador de rede não foi alertados para este problema, porque a resposta padrão, o sistema de backup para um sem resposta cliente estava a passar o cliente sem resposta e passar para o próximo sistema. No final do processo de arquivamento, o sistema de arquivamento criaria uma nota em seu log que alguns sistemas (Incluindo o sistema de repositório de código) não tinha sido arquivado, mas que o backup geral foi "Sucesso". Porque nunca o administrador de rede olhou para os detalhes do relatório e só deu atenção ao aviso de sucesso, eles assumiram tudo funcionou.

Uma vez que decidimos mudar os dados, percebemos que, apesar de deslocalização arquivamento de dados para um local fora do local reduz um risco (perda de dados por meio de local desastre), introduz um outro risco (o acesso não autorizado) porque os dados são transportados e armazenados em outro lugar. Se os dados são criptografados antes do trânsito, nós podemos mitigar o risco de novo, mas agora precisamos ter uma maneira de descriptografar os dados remotamente, em caso perdemos todos os nossos sistemas localmente. Se arquivados dados usando uma fita sistema de arquivamento de backup, como VERITAS, precisamos adquirir um segundo sistema de o segundo conjunto de dados de arquivo para o nosso local alternativo. Naturalmente, precisamos


transporte a chave de criptografia, para que possamos descriptografar os dados posteriormente, se necessário -não podemos enviar a chave durante o transporte dos dados, no caso de os dados serem furtados ao longo do caminho. Agora temos dados localizados em dois locais, como é que vamos acessar o segundo conjunto de dados? Precisamos de funcionários remotos para realizar o processo, o que significa que precisamos treinar -los sobre como descriptografar os dados e proteger os dados corretamente. Uma vez que os dados são decifrado, há uma instalação segura para armazenar os dados, e que tipo de física segurança existe? Agora temos que pensar em armas de fogo, portas, e os guardas, que também significa verificação de antecedentes, testes de penetração física, e assim por diante. Como podemos ver, o arquivamento de dados não é um processo simples -existem muitos fatores a Políticas de destruição considerar. Nós temos que ter um processo que mantém os dados de nossos clientes seguro, não importa Eventualmente, é preciso destruir documentos arquivados. Pode haver cliente ou onde é armazenado. requisitos de retenção de dados corporativos que devem satisfazer, mas uma vez que estamos permissão para destruir os dados, devemos fazê-lo com prudência. As técnicas de destruição de mídia digital irá variar dependendo da sensibilidade de dados e políticas corporativas.

NOTA Há inúmeras maneiras de destruir dados, dependendo do tipo de dados e governarmento regulamentos. Alguns regulamentos governamentais exigem que os discos rígidos não ser picado, apenas substituído. Certifique-se que todos os dados recuperados durante um teste de penetração é descartado corretamente.

Todos os dados de tempo são destruídos, um recorde de destruição deve ser gerado e retidos. Informações contidas nos registros de destruição deve incluir uma descrição dos dados destruídos, o tipo de mídia contendo os dados, ea data, local, eo método usado para destruir os dados. Clientes devem estar cientes da políticas equipe de teste de penetração da destruição, e as formas de acessar os registros relacionados à a destruição de dados específicos para o cliente.

RESUMO Quando os dados teste de penetração é mantido para qualquer período de tempo, os clientes devem ter um clara compreensão de nosso processo de arquivo, incluindo o que manter, onde nós mantê-lo, quanto tempo nós mantê-lo, e como mantê-lo. Há uma abundância dos benefícios para manter os dados do projeto, mas deve ser garantido adequadamente contra acesso não autorizado. Se um usuário malicioso para obter dados de teste de penetração, ele ou ela pode efetivamente ter acesso irrestrito à rede de nossos clientes. Se a decisão é feita para manter os dados, um processo de arquivo de som precisa ser desenvolvidos. Políticas de destruição precisam ser escritas, os locais de arquivo deve ser


investigados, métodos de criptografia precisam ser definidos, e controles de acesso a ambos os os dados ea chave de criptografia tem que ser posta em prática. Ter um processo de arquivo de som não é responsabilidade de uma pessoa. Toda a equipe membros são responsáveis por proteger os dados durante e após a penetração projeto de teste. Todos devem também compreender como responder a questões legais e de ser capaz de recriar os passos que levaram à descoberta de qualquer atividade ilegal. Por ser diligente em documentar e arquivar tudo o que ocorre durante um teste de penetração, os interesses do cliente estão garantidos.

As soluções da FAST TRACK Você deve manter dados? ■

Há duas escolas de pensamento sobre retenção de dados de teste de penetração manter tudo ou manter nada.

■

Se um engenheiro de teste de penetração encontra evidências de atividades ilegais durante o curso de um pentest, há uma chance de que o engenheiro será chamado como um testemunha, assumindo que o processo criminal vai para tribunal. Ter documentação detalhada sobre todos os passos realizados pelo engenheiro durante o curso do teste de penetração irá reduzir a chance de erros sendo feitas no stand.

■

Protegendo Documentação ■

■

■

Se usarmos a criptografia de disco completo para dados de teste seguro de penetração, podemos usar mecanismos de controle de acesso disponíveis no sistema operacional do sistema host para restringir oprocedimento acesso aos dados. Qualquer de arquivamento deve verificar se os dados foram corretamente transferidos e pode ser restaurado. Destruição de dados pode ter de cumprir as diretrizes do governo, dependendo os dados e onde ela foi obtida.


Tenho uma questão legal. . . Contactar o seu advogado. Eu sei que soa como uma desculpa, mas a lei é complicado e fluido. Cada equipe de teste de penetração deve ter acesso a um advogado familiarizado com as leis em torno avaliações do sistema de informação.

Q:

Se eu descobrir a atividade ilegal, durante um teste de penetração, eu não posso simplesmente informar o cliente e deixá-los a lidar com o achado? Veja a resposta anterior.

A:


Q:

Quem é responsável pela recuperação de desastres e continuidade de negócios em um penetração equipe de teste?

A:

Normalmente, o gerente funcional terão diretrizes corporativas sobre como satisfazer os requisitos de recuperação de desastres e continuidade dos negócios e é em última instância responsável pela adesão da equipe para orientações.


CAPÍTULO

Limpando seu laboratório

17

SOLUÇÕES NESTE CAPÍTULO Arquivamento de dados Lab ............................................... ................................... 454 Criação e Utilização de Imagens Sistema ............................................. .................. 455 Criação de um "Clean Shop "................................................ ............................ 457

INTRODUÇÃO Пропала коровка, пропадай и веревка. -Provérbio russo: "Se a vaca já se foi, assim é o cabresto. " (Mertvago, 1995)

Quando criamos um relatório final para um cliente, que incluem informações suficientes para que o cliente pode compreender plenamente as vulnerabilidades presentes em sua rede. Nós também fornecê-los com descrições detalhadas de como o alvo foi comprometida, de modo que eles podem recriar a façanha, se assim o desejar. Depois que o lançamento do relatório, qualquer coisa que fizemos no laboratório não deve ter nenhum valor e muitas vezes pode ser excluída. Para proteger os nossos clientes, precisamos estar completa quando nós higienizar nosso laboratório para o próximo projeto, no caso nós temos a informação sensível sobre os sistemas. Além da preocupação para os dados de nossos clientes, não queremos anterior configurações para manchar a obra de futuro no laboratório. Pela correcta e sistematicamente destruir dados em nosso laboratório, nós podemos seguramente transição para os nossos profissionais vem projeto de teste de penetração. Em alguns casos, no entanto, a gente pode querer guardar todos os dados em nosso laboratório. Se usarmos nosso laboratório para pesquisa, pode precisar de ser capaz de replicar o ambiente de laboratório 453 exata em algum futuro, seja para retomar o nosso trabalho ou fornecer acesso a fornecedores Teste de Invasão momento profissional Copyright © 2010 by Syngress Press Inc. Todos os direitos de reprodução em qualquer forma reservada. ou outros pesquisadores.

454 CAPÍTULO 17 Limpando seu laboratório

ARQUIVO DE DADOS LAB Laboratórios de teste de penetração podem ser concebidos para fins múltiplos. Dependendo da uso, dados de teste podem precisar de ser arquivados e mantidos. No Capítulo 16, discutimos arquivamento de dados de teste de penetração, mas nesta seção, vamos discutir algumas incomuns circunstâncias, tais como laboratórios de análise de malware e prova de conceitos. Mesmo que nosso trabalho não se enquadra em pesquisas avançadas, tais como análise de malware ou a criação, podemos ainda deseja arquivar dados nosso laboratório. Se houver qualquer parada entre projetos de teste de penetração, poderíamos querer utilizar as lacunas e prática algumas técnicas de hacking. Se não podemos completar a nossa formação a tempo, antes da teste de penetração seguinte começa, podemos arquivar os dados e restaurar o nosso laboratório em uma tarde data. Isto pode ser muito benéfico, especialmente se houver uma grande quantidade de trabalho necessário para configurar laboratório para a nossa formação auto-dirigida. Prova de oConceitos Se estamos usando um laboratório de teste de penetração profissional como forma de identificar e explorando vulnerabilidades zero-day de um dispositivo de aplicação ou rede, temos diferentes requisitos de arquivamento de laboratórios usados para identificar e explorar publicamente vulnerabilidades disponíveis. Quando tentamos encontrar falhas não descobertas em um alvo com a intenção de notificar o fornecedor do aplicativo ou dispositivo e publicar o nosso achados, deve estar consciente de como arquivo que nossos achados. A primeira preocupação maior com o arquivamento de dados dentro de um laboratório, onde desenvolvemos prova de conceitos é a capacidade de recriar precisamente o laboratório. Normalmente, teríamos apenas arquivar a nossa actividade e conclusões sobre a nossa plataforma de ataque, quando o desenvolvimento prova de conceitos, é preciso arquivar todos os sistemas em nosso ambiente de pesquisa, incluindo dispositivos de rede. Se a prova de conceito é significativa e é de interesse em todas as áreas de tecnologia da informação, os resultados devem ser cientificamente, incluindo a capacidade de reconstruir o laboratório exatamente se os outros AVISO não podeCriação replicardea provas prova de de conceitos conceito.de inseguranças aplicação é uma atividade delicada -muitos fornecedores frown sobre engenharia reversa e tem prosseguido activamente recurso legal contra o indivíduos que identificaram falhas de segurança, especialmente em sistemas de protecção de dados.

A segunda grande preocupação com o arquivamento de dados dentro de uma prova de conceito de laboratório é o malware que é criado, que pode explorar a vulnerabilidade em situação irregular. A aplicação ou fornecedor aparelho certamente vai querer uma cópia do malware ou explorar script para verificar nossos achados. Malware organismos de investigação (incluindo empresas de antivírus) também podem mostrar um interesse em que o malware. Tratamento adequado e armazenamento do malware irão servir os melhores interesses do fornecedor de pesquisa, organizações, e de nós mesmos.

Criação e Utilização de Imagens do Sistema 455

Análise de malware Similar a um laboratório que desenvolve a prova de conceitos, um laboratório que examina malware necessidades para arquivar todos os sistemas no ambiente de pesquisa. Com um laboratório de malware, No entanto, todos os dados arquivados devem ser considerados como perigosos, rede, mesmo arquivos do dispositivo. Se vamos para arquivar todos os dados no laboratório, é preciso certificar-se de que todos os meios de arquivamento é claramente marcada para indicar a presença de malware em os dados. Uma preocupação é que podemos precisar para analisar malware em um nonvirtual ambiente, o que significa que o malware é capaz de infectar e corrompendo arquivos de sistema à vontade, sem a segurança do "Sandbox" oferecidos por virtual máquinas. Se somos o arquivamento de uma máquina virtual, podemos simplesmente salvar o atual estado do sistema sem aborrecimentos. No entanto, se estiver executando em um nonvirtual sistema, podemos precisar de arquivar todo o sistema, pois não podemos ter certeza de que o malware modificado. Um método que podemos usar é o de criar imagens fantasmas do nosso do sistema. Embora vamos falar sobre imagens de fantasma em maior detalhe mais adiante neste capítulo, uma imagem fantasma é um backup completo do nosso sistema de destino, que pode ser usado para restaurar a nossa meta para o seu estado atual em uma data posterior, se necessário. Nós normalmente usar imagens fantasma para fornecer um sistema operacional limpo (OS) para sistemas de nosso laboratório, mas também podemos criar imagens fantasma de sistemas infectados para fins de pesquisa; imagens fantasmas podem DO ser transportados CRIANDO E USANDO IMAGENS SISTEMA por via electrónica para os vendedores e corporações dispostos a recriar nosso uma laboratório), ou armazenados Criar imagens(assumindo do sistemaque paraeles usoestão em um laboratório economiza quantidade enorme de localmente para tempo análise posterior. construção e derrubar um laboratório de teste de penetração. Ao invés de gastar tempo e recursos de instalar sistemas operacionais e aplicativos, imagens do sistema permitem que o pentest engenheiro para gastar esse tempo e recursos para realizar testes e ataques. Temos usado as imagens do sistema numerosas ao longo deste livro, especificamente no que máquinas virtuais. Existem outras maneiras de criar imagens do sistema além de dentro de um máquina virtual. O outro processo examinaremos nesta seção é a capacidade de criar imagens de fantasma, que copiar todos os arquivos em um sistema, incluindo os específicos para o sistema operacional.

Questões de licença

Antes de criar outras máquinas virtuais ou imagens fantasmas, problemas de licenciamento precisa ser incluídas nas decisões sobre como arquivar nosso laboratório. Desde alvos mais malware Microsoft Windows, que vai querer usar Sistemas operacionais diferentes na Microsoft nosso laboratório. O uso de qualquer produto Microsoft no nosso laboratório exige que aderir ao contratos de licença. Informações sobre as licenças de virtualização da Microsoft pode ser encontrado em www.microsoft.com / licensing / sobre o licenciamento / virtualization.aspx. O uso de


um sistema operacional Microsoft em um sistema virtual é mais restritiva do Linux, mas o seu cumprimento é ainda possível sem aborrecimentos. Sistemas operacionais não são a licença só precisamos nos preocupar com -todas as aplicações licenças devem ser respeitados, quando criar e implantar imagens do sistema. Queremos ter certeza de que se usarmos uma imagem do sistema em vários sistemas em nosso laboratório, não violam quaisquer contratos de licença. Contato com o departamento jurídico ou um advogado se o contrato de licença não é clara quanto à sua aplicabilidade em um laboratório de teste de penetração. Máquinas Virtuais VMware Enterprise, Xen, e Hyper-V são todos capazes de tirar fotos de um execução da máquina virtual (que eles controlam) e salvando o instantâneo para uso futuro. Podemos salvar as modificações consecutivas a um sistema, como salvar uma imagem de um Microsoft servidor após cada patch. Isso vai nos permitir determinar exatamente qual patch corrige uma vulnerabilidade. Máquinas virtuais também oferecem o engenheiro de teste de penetração de uma plataforma para executar diferentes aplicações dentro de avaliações de vulnerabilidade. Poderíamos ter um virtual imagem de um servidor rodando Apache, e outro rodando o Internet Information Server (IIS). Se quisermos ver se a vulnerabilidade funciona em várias plataformas, podemos simplesmente lançar uma imagem virtual de cada cenário e ver o que acontece. Arquivamento imagens do sistema pode salvar o engenheiro de teste de penetração muito tempo criação e derrubar um laboratório.

"Ghost" Imagens A idéia por trás da criação de imagens fantasmas sistema é que todos os arquivos de sistema são copiados de tal forma que o estado exato do sistema no momento de ser fantasma pode ser restaurados. Semelhante a uma máquina virtual, um sistema pode ser restaurado rapidamente (relativamente) para um estado salvo anteriormente. Se fizermos alguma coisa para o sistema durante o curso de nossos testes, podemos começar de novo sem ter que construir todo o sistema novamente. O desvantagem para os fantasmas é que a restauração pode ser demorado. Imagens virtuais pode ser devolvido ao seu estado original, em questão de minutos, mas as imagens fantasma tomar significativamente mais tempo para reverter. Todos os outros fatores de lado, se precisar restaurar um sistema a um estado primitivo rapidamente, imagens fantasmas não são o caminho a percorrer. Existem algumas vantagens para os fantasmas de uma máquina, em vez de usar virtual imagens. A maior vantagem é que se tivéssemos que usar o nosso laboratório para análise de malware. Muitos dos malware mais avançada vai tentar detectar o ambiente do sistema antes da execução. Se um malware avançadas verifica e detecta que estamos executando nossa análise dentro de uma máquina virtual, ele pode simplesmente desligado, por isso não podemos analisar o que o malware faz. Uma vez que um monte de análise de malware é realizado em imagens virtuais (para economizar tempo na reconstrução de sistemas), os criadores de malware estão tentando para minar as tentativas de análise, verificando que tipo de ambiente é sendo usado. Usando imagens fantasmas, estamos executando nossa análise em um nonvirtual

Criação de um "Clean Shop " 457

ambiente, o que significa que podemos analisar todos os tipos de malware -mesmo aqueles que não será executado em uma máquina virtual.

TIP Se as imagens fantasma são necessários em um laboratório, comprar sistemas extra para eliminar o tempo desperdício de instalar uma imagem limpa. Por sempre ter um sistema disponível que foi recentemente fantasmas, os engenheiros podem ser mais eficazes com o seu tempo. No longo prazo, o custo de servidores extra é insignificante em comparação com a despesa de ter um engenheiro de teste de penetração espera ao redor, incapaz de trabalhar.

A segunda vantagem do uso de imagens fantasmas sobre as imagens virtuais é que todos os recursos do sistema estão disponíveis. Se estiver executando memória intensiva processos ou armazenar grandes quantidades de dados em um sistema de fantasma, não temos que competir com quaisquer outros processos -executando dois sistemas operacionais (o host eo sistema virtual) é uso intensivo de memória. Por ser capaz de usar apenas o sistema operacional hospedeiro e têm a capacidade de restaurar um sistema para um estado anterior sem esforço é uma vantagem enorme.

Você Owned? Os backups podem ser infectados Uma das minhas piores experiências estava lidando com o worm Blaster. A empresa que eu trabalhava na teve sido duramente atingida, e levou muito tempo para limpar a rede. O que era pior, porém, é que continuou sendo infectadas pelo menos uma vez por mês durante quase um ano, e nem rede, nem o equipe de segurança poderia figurar como Blaster continuei recebendo através de nossas defesas. Mais tarde, descobrimos que o laboratório de produção criaram cópias de vários servidores infectados para usar como "Fantasma" imagens, que pode ser usado para restaurar rapidamente um servidor. Embora uma grande poupança de tempo para a equipe do laboratório, cada tempo trouxeram um servidor usando uma imagem fantasma infectados, a rede foi martelado.

Uma versão comercial de uma ferramenta de fantasmas é o Norton Ghost, disponível em www. symantec.com / norton ghost /. Existem algumas alternativas de código aberto, bem como, incluindo Clonezilla (www.clonezilla.org) e Partimage (www.partimage.org).

CRIANDO UM "CLEAN SHOP " No final de um teste de penetração, precisamos ter certeza de que não há dados residual deixados para trás que podem afetar o teste de penetração que vem. Se reconstruir todos os sistemas de do zero, nós deveríamos, teoricamente, ter um ambiente limpo, no entanto, mesmo quando nós reconstruir o nosso sistema usando discos de instalação e patch, é preciso certificarse de que temos uma "Limpa shop ", no caso nos deparamos com um teste de penetração, onde podemos necessidade de provar procedimentos de som (tais como a descoberta de atividades ilegais, pesquisa, análise ou malware).


Se não estamos realizando pesquisas ou análise de malware, que ainda pode precisar certifique-se de tudo no laboratório é higienizado de dados antigos. Se usamos o laboratório no curso de um teste de penetração profissional, que pode ter informações do cliente que é sensível em nossos sistemas. Esta poderia ser na forma de dispositivo de rede configurações, endereços de Internet Protocol, e aplicações utilizadas pelo cliente; todos essa informação poderia beneficiar um utilizador mal intencionado na tentativa de entender o nosso cliente rede. Certificando-se de que o nosso laboratório é "Limpa", nos protegemos e nossa clientes.

Métodos de higienização Quando higienizar sistemas de destino, precisamos nos preocupar com muitas componentes, incluindo discos rígidos, a memória do sistema, e (teoricamente) a base input / output system (BIOS), dependendo por isso que usamos o laboratório de teste de penetração. Os discos rígidos podem conter inúmeros pontos de dados do cliente e deve ser limpou antes de reutilizar. A maneira mais segura para remover dados de qualquer armazenamento não-volátil dispositivo é para substituir os dados. Uma dessas ferramentas é OpenSource DBAN, disponível em www.dban.org, que é um disco de inicialização que limpe qualquer disco rígido encontrado em um do sistema. Em nosso cópia do BackTrack é uma aplicação chamada shred, que substituir qualquer arquivo ou o disco rígido inteiro, se desejar. AVISO É fácil, inadvertidamente, excluir os dados errados em um sistema, resultando em uma falha no sistema (confie em mim... Eu estou falando por experiência própria). Tenha muito cuidado ao destruir qualquer arquivo, e ter um backup de dados críticos.

Figura 17.1 é a saída do arquivo de ajuda do shred. O aviso deve ser observado, uma vez que pode impactar a habilidade para destruir um arquivo -shred pode não funcionar em alguns sistemas de arquivos. Existem outras alternativas para triturar, incluindo alguns utilitários comerciais, no entanto, shred funciona na maioria dos casos. Na Figura 17.2, lançamos shred, e alvo do arquivo / tmp / netcat / saída na Hackerdemia LiveCD. Nós poderíamos lançar shred contra a unidade local rígido inteiro se preferimos, garantindo todos os dados do nosso laboratório é destruído. No nosso exemplo, usando shred, vamos apenas dizer o aplicativo para escrever sobre o arquivo três vezes, simplesmente para economizar tempo, no entanto, poderíamos usar o padrão (25) ou um número maior se formos suficientemente paranóico.

TIP Uma boa fonte de idéias sobre como higienizar os meios digitais podem ser encontradas no (NIST) National Institute of Standards and Technology da Divisão de Segurança de Computadores. Especial 800-88 publicação fornece orientações sobre higienização de dados e pode ser encontrado em: http://csrc. nist.gov/publications/nistpubs/800-88/NISTSP800-88_rev1.pdf


Figura 17.1 Shred Ajuda saída

Se examinarmos a / tmp / netcat / output_file antes de usar shred, vemos que o tamanho do arquivo é de 17 bytes, e contém uma única linha - "Arquivo para download. "Uma vez que corremos shred, o arquivo muda de tamanho a 4094 bytes, eo arquivo contém dados aleatórios. O diferença no tamanho final está relacionado com design disco e tamanho do setor. Para garantir que todos dados é destruído, todos os setores que contêm os dados do arquivo são higienizados. Memória do sistema pode conter aplicações maliciosas, tais como agentes backdoor. Quando usamos CORE IMPACT, fomos capazes de explorar vulnerabilidades e injetar shell contas na memória. As aplicações shell permaneceria na memória como desde que o sistema permanece em execução. Se reiniciado o sistema, a aplicação ia embora. Apagar a memória do sistema é bastante simples uma vez que uma reinicialização realizar a nossa necessidade de um ambiente limpo. A complexidade é apenas quando um


Figura 17.2 Lançamento Shred on / tmp / netcat / saída de arquivos

reboot deve ser iniciada. Se um aplicativo malicioso é lançado na memória em inicialização, é preciso certificar-se de todos os arquivos em um sistema são higienizados antes de reiniciar; caso contrário, vamos simplesmente infectar o sistema com o malware. A melhor maneira de garantir a higienização completa é de disco completo limpa, o que impedirá a reinfecção. À excepção de uma higienização completa, que pode precisar de fazer algumas análises forenses para determinar se os nossos sistemas estão limpos. O esforço que estamos dispostos a colocar em determinar o estado de infecção de um sistema depende do que estamos fazendo no laboratório; podemos não fazer muito trabalho de um sistema de desinfecção, se nós não usamos malware.

Ferramentas e Armadilhas ... Reinfecção

Ao usar malware em um laboratório de teste de penetração, é preciso ter cuidado ao remover o aplicativo malicioso. Malware, muitas vezes, incluem métodos para re-infectando o hospedeiro, no caso o código é detectado. Certifique-se de seguir as instruções de remoção (encontrada em muitos diferentes vírus digitalização desenvolvedores de software) ao tentar desinstalar qualquer malware importados.


Há alguns exemplos de malware BIOS, que pode injetar código em nosso laboratório sistemas. Avanços atuais na BIOS hacks envolvem injeção de código na BIOS, o que efetivamente torna o sistema inoperante. Apesar de perder um sistema para um BIOS ataque seria inconveniente na melhor das hipóteses, agora não temos que se preocupar com limpar o BIOS do sistema. É possível que no futuro podemos precisar se preocupar sobre BIOS de dados, no entanto, os vendedores fizeram atualizações de BIOS conveniente, e pode ser algo que se torna um procedimento regular quando laboratório de higienização sistemas.

Usando Hashes Uma vez nós removemos todos os dados em nossos sistemas e começar a reconstruir, nós precisamos para garantir que estamos usando fornecedor desde aplicações e sistemas operacionais antes prosseguir. No Capítulo 4, discutimos o uso de hashes em validar o nosso discos de instalação e aplicativos usados em nosso laboratório, e teremos de continuar o processo de validação de arquivo, uma vez que temos nossos sistemas higienizado e começar a reconstruir. No entanto, o que acontece com imagens virtuais e fantasmas que criamos? Podemos gerar nossos próprios valores de hash usando MD5, e adicioná-los à nossa lista de hashes utilizado na laboratório de testes de penetração. É difícil distinguir uma imagem virtual ou fantasma o outro. Para fornecer algum nível de garantia, um método deve estar no lugar que permite Pentest engenheiros para identificar claramente uma imagem de outro. Se o laboratório foi utilizado para analisar malware, que pode querer criar hashes do sistema aplicações e comparar o valor hash para o seu valor original. Ao comparar a novo e original valores hash, podemos detectar qualquer modificação de arquivos que não podem identificou durante o curso de nossa investigação.

NOTA Se o malware instala um rootkit, não podemos contar com os valores de hash para ser exato. Rootkits podem interceptar nosso pedido hash e responder com dados incorretos, na esperança de que nós não detectar a presença do rootkit.

Change Controls Management As coisas tendem a mudar -aplicações são atualizados e sistemas operacionais são corrigidos. Quando um laboratório é limpo para a próxima rodada de testes, pode não ser necessário completamente sanear um sistema. Na verdade, a quantidade de trabalho de limpeza de um laboratório deve ser relativo ao qual atividade que planejamos para o laboratório -não faz sentido excluir todo o conteúdo de um disco rígido se apenas modificou um casal arquivos. Nos casos em que queremos minimizar nosso trabalho, podemos simplesmente substituir ou adicionar o que precisamos para o nosso próximo teste. O problema, porém, é que precisamos ter certeza de que todos os arquivos que substitua são feitas de modo corretamente.


Gestão da mudança é usado para especificar exatamente quais aplicações e versões destinam-se a um servidor de compilação e é usado frequentemente em servidores de produção. Em laboratórios de teste de penetração, gerenciamento de mudanças tem um papel similar -para especificar quais aplicações são destinadas a ser usado em sistemas de laboratório. A idéia é laboratórios muitas vezes são usados para replicar ambientes de produção, para garantir que os aplicativos instalados no laboratório são da versão correta, a coordenação entre sistemas de produção laboratórios de testes de penetração de administração e precisa existir. Não é incomum para engenheiros de teste de penetração para obter o seu software e patches de produção mudança gestão de pessoal, ao invés de cabeça para cima uma mudança separados gestão mento do programa.

RESUMO Em um laboratório típico teste de penetração, a limpeza de sistemas tipicamente requer a exclusão tudo, incluindo sistemas operacionais, arquivos e configurações. No entanto, em alguns casos, nós necessidade de arquivar o nosso ambiente de laboratório. Semelhante ao arquivamento de dados de teste de penetração, discutido no capítulo 16, nós precisamos ser metódica e completa quando arquivamento dados de laboratório, não necessariamente por motivos legais ou para atender pedidos de clientes, mas para continuidade e dados históricos para a nossa própria investigação. Ao arquivar sistemas de laboratório, corremos o risco de incluir software malicioso nos arquivos. Quando salvar malware, precisamos rotular a mídia de arquivamento de forma adequada e segura-lo para que ele seja inacessível para pessoas não autorizadas. Gerar valores hash do arquivo podem ajudar a reduzir a chance de acidental uso em laboratório, de ambas as imagens do sistema infectado e imagens fantasma de limpeza instalações. Todos os dados arquivados não precisa ser devidamente higienizado, e cuidados devem ser tomados para remover todos os dados antes de um novo projeto pode começar. Arquivos de configuração e velhos dados pode corromper a pesquisa de teste de penetração futuro no laboratório; higienização adequada As soluções da FAST TRACK procedimentos precisam ser desenvolvidos para garantir um laboratório limpo.

Arquivamento de dados Lab■

■

■

Um laboratório de testes de penetração profissional usado para identificar e explorar zeroday vulnerabilidades terão diferentes requisitos de arquivamento de laboratórios usados para identificar e explorar vulnerabilidades publicamente disponíveis. Se somos o arquivamento de uma máquina virtual, podemos simplesmente salvar o estado atual de o sistema sem aborrecimentos. Se nós estamos funcionando em um sistema não-virtual, podemos precisar para arquivar toda a sistema, pois não podemos ter certeza de que o malware modificado.

Referência 463

Criação e Utilização de Imagens do Sistema ■

Antes de criar outras máquinas virtuais ou imagens fantasmas, problemas de licenciamento deve ser incluído nas decisões sobre como arquivar nosso laboratório.

■

Imagens virtuais pode ser devolvido ao seu estado original, em questão de minutos, enquanto as imagens fantasma demorar muito mais tempo para reverter.

■

Muitos dos malware mais avançada vai tentar detectar o sistema ambiente antes da execução, e não executados em máquinas virtuais, o uso de imagens fantasmas economiza tempo que seria gasto sistemas de reconstrução em um laboratório de análise de malware.

Criação de um "Clean Shop " ■

■

Se não higienizar adequadamente um laboratório na conclusão de um teste de penetração, nós pode ter residual, informações confidenciais de clientes em nossos sistemas. É difícil distinguir uma imagem virtual ou fantasma de outro; se usarmos imagens do servidor, precisamos gerar os nossos próprios valores hash e adicioná-los ao nosso lista de hashes usado no laboratório de teste de penetração.


Devo dispositivos de rede de arquivo, tais como firewalls e roteadores?

A:

Se você atacar qualquer um desses sistemas utilizando malware, é prudente para arquivar o informação para consultas futuras. Caso contrário, provavelmente não é necessário incluir esses dispositivos no processo de arquivamento. Ao trabalhar com imagens virtuais, o que é a melhor maneira de salvar os dados -deveria Eu compartilhar dados entre a imagem virtual eo sistema host?

Q: A:

Ao permitir o acesso da máquina virtual para o seu sistema host, você corre o risco de infectar o hospedeiro em si. Se a infecção do sistema host não é um problema, então ele pode ser bom para compartilhar dados entre os dois sistemas. Não é algo Eu faria, mas deve ser muito bem em alguns casos.

Q:

Por que não posso simplesmente apagar um arquivo, em vez de usar um programa como o shred? Quando os arquivos são apagados pelo OS, a única coisa removido normalmente é o

A:

arquivo listagem -não o arquivo. Isto significa que os dados ainda estão lá. Se estamos preocupados sobre as informações sensíveis sobre a rede de nossos clientes, nós realmente deve apagar todos os dados, não apenas a referência ao arquivo.



CAPÍTULO

Planejamento para o seu próximo Pentest

18

SOLUÇÕES NESTE CAPÍTULO Gestão de Risco Registrar ............................................... .......................... 466 Banco de dados de conhecimento ................................................ ................................ 468 Pós-Ação de Revisão .............................................. ................................... 470

INTRODUÇÃO Отзвонил, да и с колокольни долой проч. -Provérbio russo: "Uma vez o sino rung, deixe o campanário. " (Mertvago, 1995)

Neste momento em um projeto de teste de penetração, o pentest engenheiros não têm muito mais o que fazer com o projeto, além de responder a algumas perguntas a partir do feedback gerente de projeto. Para melhorar o sucesso de projetos futuros, o gerente de projeto tem algumas tarefas adicionais para executar. Cada projeto oferece a oportunidade de construir em testes de penetração anterior experiências. A de gestão de risco registo é uma ferramenta que pode ser usado para controlar os riscos dentro de um projeto. Ao manter uma lista do que os riscos vêm no passado, a gerente de projeto pode se preparar para compromissos futuros. Outra ferramenta que benefícios a execução de projetos anteriores é uma banco de dados de conhecimento, que retém todas as informações sobre testes de penetração anterior. Em vez de manter os relatórios finais como referências, a base de conhecimento contém informações sobre como vulnerabilidades foram exploradas, o que vulnerabilidades foram descobertas, e material de referência, pretende ser um repositório para projetos futuros. A base de conhecimento fornece pentest engenheiros uma fonte única de informação onde eles podem rapidamente ligar para a orientação. Outra ferramenta que beneficia de testes de penetração anterior é postproject entrevistas com a equipe. Através da realização de pós-ação revisões, projetado para identificar pontos fracos e fortes em cada projeto, o gerente de projeto pode melhorar a


466 CAPÍTULO 18 Planejamento para sua pentest Next

eficácia da equipe de teste de penetração. Pós-ação opiniões também dar ao projeto gerente de uma idéia de quais habilidades podem ser necessários em futuros projetos, para que eles possam providenciar formação adequada.

GESTÃO DE RISCOS REGISTER Manter um registo de gestão de risco fornece o gerente de projeto uma forma de identificação, quantificação e gestão de riscos dentro de um projeto. Gerenciar o riscomento registo é específico para os riscos para o projeto, não de riscos que poderiam ser encontrados dentro rede de um cliente. Embora haja riscos que são encontrados em projetos em indústrias que podem aparecer em nosso projeto, existem alguns riscos que são únicas para testes de penetração profissional. No entanto, todos os tipos de riscos devem ser adicionados à registo.

Criando uma Gestão de Risco Registrar Um registro de risco não precisa ser complicado, mas pode conter condensado informações tais como o risco e as respostas, e ser apenas algumas linhas de comprimento. Para projetos de penetração muitos teste, que pode ser o suficiente. Um registro de riscos também pode ser muito grande, alguns dos registros de risco mais complexos incluem códigos únicos para cada risco, nuances e variações de cada risco, uma lista de respostas possíveis que foram priorizadas, uma lista de pessoas envolvidas no evento aceitabilidade do risco, do risco, sinais de alerta, informando triggers, atribuição de responsabilidades, e um "Grade" para cada risco.

TIP O tamanho do registo devem ser influenciadas pelas exigências das empresas e pessoal disponível. Embora a idéia de ter um cadastro grande e complexo pode soar atraente para um gerente de projeto, gastando o tempo e os recursos necessários para desenvolver um "Sonho" registro não pode estar em sintonia com as necessidades da equipe do projeto.

Um registo eficaz dos riscos para uma equipe pequena teste de penetração não precisa ser complexo. Tabela 18.1 é um exemplo de uma entrada de registro de riscos e pode ser usado como está em um Pentest. O registro de riscos podem conter riscos potenciais, e não apenas os riscos que realmente ocorreu; gerente de projeto e os engenheiros de teste de penetração pode criar um registro de risco de riscos potenciais e possíveis soluções através de sessões de brainstorming. O vantagem para a construção de um registro de risco desta maneira é que se aciona um risco, o equipe já vir com soluções potenciais -é muito mais difícil desenvolver respostas apropriadas durante o evento real.

Gestão de Risco Registrar 467

Tabela 18.1 Entrada Registrar simples Risco Riscos identificados

As respostas possíveis

Perda de conectividade de rede

■

Realocar o pessoal todo para Mountain View California e usar Google WiFi

■

Contrato para a conectividade de rede redundantes através de Provedor de serviços Internet (ISP)

■

Compra de hardware router móvel e wireless de alta velocidade cartões de banda larga

■

Identificar as casas de café local na área que têm acesso Wi-Fi

Priorização de Riscos e Respostas Embora a entrada de registro de riscos na Tabela 18.1 é suficiente, a eficácia do registro de riscos melhora quando alguns priorização incluída. Na Tabela 18.2, que expandir no registo anterior, e adicionar alguns pesos para os diferentes riscos e soluções. Quanto maior o risco registo, a melhor chance da equipe da vontade ser capaz de responder a os próximos eventos. Os exemplos acima mencionados registo pode ser expandida em, dependendo das necessidades da organização. Outro benefício para o registro de riscos se torna aparente quando a penetração os membros da equipe de teste a mudança entre projetos, como em uma organização por projetos. Por ter um registro de riscos, os recémchegados para a equipe possa tomar decisões com base em trabalhos anteriores.

Tabela 18.2 Entrada Registrar típico de Risco Número de risco identificados RiscoImpacto

Soluções possíveis (Classificado por Preferência)

1,1

■

Contrato para a conectividade de rede redundantes através do provedor de serviços Internet (ISP)

■

Compra de hardware router móvel e EVDO cartões

■

Identificar as casas de café local na área que têm Wi-Fi

■

Realocar o pessoal todo para Mountain View

■

Solucionar problemas da rede interna

■

ISP contato para relatar a degradação

■

Reduzir o uso de largura de banda para críticos apenas sistemas

1,2

Perda de rede conectividade

Rede conectividade degradação

Alto

Médio

CAPÍTULO 468 18 Planejamento para sua pentest Next

Base de conhecimento A base de conhecimento é usado para manter os dados históricos em todos os projetos realizados por a equipe de teste de penetração, e os resultados finais. O banco de dados deve conter perguntas freqüentes (como siglas, protocolos e melhores práticas), problemas conhecidos (dados de vulnerabilidade, os sistemas vulneráveis) e soluções (exploração scripts, descobertas errada).

Criar um banco de dados Conhecimento Um banco de dados de conhecimento é principalmente para o benefício dos engenheiros de teste de penetração, e será na forma de fluxo livre comentários, semelhante ao encontrado na Tabela 18.3. Os dados devem estar em um banco de dados e feito para ser pesquisado, de modo que um engenheiro pode localizar rapidamente todas as referências a uma consulta. No entanto, precisamos ser cuidadosos sobre o que os dados são inseridos -confidencialidade deve ser levado em conta antes de qualquer adição ao banco de dados é feita. Nós vamos cobrir este em maior detalhe no "Sanitization de Achados "mais adiante neste capítulo. A base de conhecimento pode conter todos os dados que pode ser benéfico no futuro testar os projetos de penetração. No entanto, ao longo do tempo no banco de dados pode se tornar bastante grande. Isso não é necessariamente uma coisa ruim, desde que os dados sejam inseridos no base de conhecimento fornece algum benefício. Para evitar a entrada de engenheiros dados sem sentido no banco de dados, uma revisão de todas as submissões podem ajudar identificar o que pertence ao banco de dados eo que deve ser descartado.


As entradas do banco de dados que requerem conhecimentos Muitas organizações que mantêm um banco de dados de conhecimento exigem que seus engenheiros para gerar entradas em cada projeto. Exigir que os funcionários inserir dados tem alguns inconvenientes -sem valor entradas. Para cumprir as cotas, os engenheiros podem entrar dados válidos que realmente não pertence. O pior exemplo, eu vi foi uma entrada em "Como para ligar meu computador. "Boa informação para sei, mas isso realmente pertence ao banco de dados?

Tabela 18.3 Entrada banco de dados de conhecimento Tipo de conhecimento Dados Explorar a vulnerabilidade

Para explorar a vulnerabilidade Divulgação Webmin Arbitrária do arquivo: 1. Download de script Perl http://milw0rm.org/exploits/2017 2. Salvar arquivo como webmin_exploit.pl 3. Alterar permissões de arquivo usando o webmin_exploit.pl seguinte comando: chmod + x webmin.pl 4. Lançar o exploit webmin usando o seguinte comando: webmin_exploit.pl

Banco de dados de conhecimento 469

Sanitização das Constatações Informações adicionadas à base de conhecimento não deve incluir informações confidenciais, incluindo Internet Protocol (IP). Ao longo do tempo, a base de conhecimento pode ser usado em outros departamentos ou organizações dentro da empresa; pela higienização dados antes de entrar no banco de dados, questões de privacidade podem ser evitados.

AVISO Mesmo se não há intenção de permitir que o risco registar-se para deixar o pentest equipe, há sempre o risco de acesso não autorizado. Não há realmente nenhuma necessidade de incluir dados confidenciais em um registro de riscos, especialmente se a intenção é ser flexível em compromissos futuros saber os endereços IP e nomes de usuários antigos provavelmente será inútil em um projeto com um cliente diferente.

Há também alguns argumentos em favor de anonimato no conhecimento de dados entradas de base. Uma vez que são peer-reviewed antes de serem inseridos no banco de dados, eles foram aprovados para a exatidão. No entanto, alguns engenheiros podem hesitar em adicionar informações para o registro por medo de que a revisão por pares, ou edição de futuro, de seus aditamentos será criticado. Ao permitir que dados sejam inseridos anonympreviamente, o pensamento é que a informação mais valiosa será adicionado ao banco de dados. Em praticidade, o anonimato do engenheiro de inserir as informações tem produzido mais problemas do que benefícios. Em pequenos projectos, todos sabem como tarefas são dividido entre os engenheiros, para que todos serão capazes de identificar quem escreveu que as entradas, apesar do anonimato. Outro problema é que não há caminho a seguir com o engenheiro que introduziu os dados se outro engenheiro tem um questão mais adiante. Um argumento pode ser feito que, quando um engenheiro sabe que sua entrada será visto por outros, o engenheiro pode colocar mais esforço em ter de dados. Sanitização das informações do cliente no banco de dados de conhecimento é um importante passo no desenvolvimento de um banco de dados de conhecimento, mas sanitização de dados empregado não tem sido tão benéfico.

Projeto de Banco de Dados de Gestão do Conhecimento

Engenheiros não são as únicas pessoas que podem se beneficiar de uma base de conhecimento. Embora o registo de gestão de risco é uma ferramenta fundamental na melhoria do projeto como um todo, um projeto de banco de gestão do conhecimento pode ajudar a melhorar as habilidades e tempo de resposta do gerente do projeto, especialmente se a equipe de teste de penetração usa diferentes gerentes de projeto ao longo dos anos. O conhecimento de gerenciamento de projetos base pode incluir as seguintes informações, eo propósito de incluir o dados no banco de dados: ■

Pontos de contatos internos à empresa

■

Pontos de contatos de organizações clientes


■

Fornecedores de recursos

■

Lista de especialistas no assunto

■

Lista de membros da equipe passado e informações de contato atuais

■

Contratos

■

Declarações de trabalho

■

Modelos de projeto

A lista acima mencionada consiste principalmente em informações de contato. Embora a mesma informação poderia ser mantida em um fichário, o ponto do projeto gerenciamento de banco de dados de conhecimento é que pode se expandir para incluir todo o empresa e fora dela, e seria benéfico para todos os gerentes de projeto. Ser capaz para identificar rapidamente um vendedor que tem trabalhado com a empresa, mas pode ser familiarizado com o gerente de projeto teste de penetração, podem ainda beneficiar do pentest equipe por causa dos contatos anteriores.

APÓS AÇÃO DE REVISÃONo Capítulo 15, discutimos como opiniões peer pode melhorar a clareza geral e precisão do relatório final. Neste capítulo, vamos discutir tipos similares de comentários -projeto e avaliações da equipe. Ao contrário das avaliações pelos pares no Capítulo 15, pós-ação opiniões pode ser feito como um grupo ou como uma atividade individual. O vantagem de realizar avaliações do projeto e da equipe em uma reunião com toda a equipe membros presentes é promover a partilha de conhecimentos e brainstorming. No entanto, pode haver alguma relutância por parte dos participantes, para ser honesto em suas avaliação do projeto e seus colegas de trabalho. Solicitando os membros da equipe fornecer avaliações anonimamente pode aumentar a chance de receber honesto opiniões daqueles que trabalharam no projeto.

As avaliações do projeto A avaliação do projeto deve identificar aspectos no projeto de teste de penetração que funcionou bem, ou precisam ser melhoradas. O objetivo principal do projeto avaliação é fornecer ao gerente de projeto com feedback sobre o fluxo global de o projeto de teste de penetração e que as fases do melhoramento necessidade do projeto. Temas de interesse para o gerente de projeto incluem o seguinte: ■ ■ ■

Questões de programação (muito pouco tempo, muito tempo, e assim por diante) Disponibilidade de recursos Gestão de riscos

Pós-Ação de Revisão 471

■ ■

Projeto de questões de escopo (muito largo, muito estreito, e assim por diante) Problemas de comunicação

As informações fornecidas na avaliação deve confirmar ou desafiar um projeto ponto de vista do gerente própria avaliação do projeto de processos e deve apresentar idéias sobre como o processo de gerenciamento de projetos podem ser melhorados para projetos futuros.

As avaliações da equipe Realização de avaliações da equipe é uma tarefa delicada -companheiros de equipe normalmente não gostam de ser crítico em relação uns aos outros, mesmo que a crítica é construtiva. O gerente de projeto deve ser cuidadoso na forma como apresenta a avaliação para a equipe, especialmente o formulação do questionário de avaliação; o tom geral da avaliação deve ser positivo e saber que o objetivo por trás do questionário de avaliação é melhorar a equipe do projeto -não encontrar a falha. O questionário deverá incluir consultas sobre os seguintes aspectos de cada membro da equipe pentest (incluindo eles mesmos). ■

Forças técnicas

■

Deficiências técnicas

■

Nível de esforço dentro de cada componente do projeto

■

Treinamento idéias equipe

■

Gestão de competências tempo

■

Obstáculos que impediam o trabalho em equipe eficaz

■

Opinião geral sobre a produtividade da equipe

AVISO Se o uso de avaliações da equipe torna-se mais prejudicial do que benéfico, não hesite em descartar o processo de avaliação.

Os resultados da avaliação da equipe não são destinadas a ser difundidas entre os equipe, mas sim, o gerente de projeto deve usar os resultados para desenvolver planos para melhorar os projetos futuros. O questionário irá fornecer alguma introspecção em grupo dinâmica entre os membros da equipe, e fornecer métricas de qualidade adicionais que podem ser usado para atribuir tarefas futuras. Necessidades de formação pode ser refinado e os riscos do projeto podem ser identificados.

As propostas de formação Ao identificar conjuntos de habilidades necessárias para os próximos projetos e obtenção de feedback engenheiros de teste de penetração, o gerente de projeto pode montar uma lista de lacunas de conhecimento dentro da equipe. Uma vez que as deficiências de conhecimento são identificados, o


gerente de projeto pode encontrar programas de formação adequados para levar a equipe até necessários níveis de habilidade antes de os projectos futuros. Se o gerente de projeto é bem sucedido em melhorar as habilidades da equipe, o novo conhecimento pode ser útil na obtenção de projetos adicionais. Gerentes de contas e as equipes de marketing precisam estar cientes de qualquer conjunto de habilidades novas, por isso adicionais negócio pode ser descoberto.

Você Owned? Engenheiros Sly Eu já fui enganado por engenheiros em um projeto, que conspiraram antes da revisão pós-ação, para que eles pedido que todos o mesmo tipo de treinamento. A revisão pós-ação deveria ser anônimo, mas os membros da equipe trabalharam juntos, e veio com um grito unificado no que treinamento era necessário. Embora os pedidos de formação foram um pouco em linha com o futuro projetos, a razão pela qual os engenheiros selecionados este treinamento particular foi devido à localização e época do ano -as férias de primavera, em Orlando, Florida. A idéia era que eles queriam obter da empresa para pagar parte das despesas de levar seus filhos para a Disneyworld. Acho que eles tiveram um bom tempo.

Se o gerente de projeto tem organizado para o treinamento no passado, as métricas podem ser realizada em cursos de formação, e as métricas devem indicar se ou não a empresa de treinamento as ofertas são benéficas. Se a formação anterior fez não produzir aumentos satisfatórios em pentest habilidades entre a equipe, alternativo recursos podem ser examinados. Treinamento não deve ser selecionado apenas com base em panfletos brilhantes, boca a boca, ou "Coolness" fator; gerentes de projeto deve definir as deficiências dentro da equipe, relacionadas com as demandas de projetos futuros, e encontrar uma maneira de encontrar cursos de formação que se encaixam dentro dos objetivos de negócios corporativos.

TIP Conferências de segurança da informação são ótimas maneiras de aumentar as habilidades da penetração equipe de teste. Muitas conferências irá adicionar vídeo de palestras de cada ano, permitindo que a equipe aprender com conferências anteriores também. Eventos locais também podem propiciar oportunidades de treinamento. Consultar o Capítulo 3 para uma lista de organizações e eventos que possam ter local ou on-line oportunidades de formação.

Quando os gerentes de projeto simplesmente não consegue encontrar fundos para a formação, há online webcasts e apresentações de segurança que ainda pode ajudar a melhorar as habilidades dos equipe de teste de penetração. Alguns recursos de treinamento on-line incluem o seguinte: ■ Black Hat Webcasts: http://blackhat.com/html/webinars/webinars-index.html ■

Black Hat Media Archive: http://blackhat.com/html/bh-media-archives/bhmultimedia-arquivos-index.html


■

DefCon Media Archive: http://defcon.org/html/links/dc-archives.html

■

SANS Arquivo Webcast: www.sans.org / webcasts / archive.php

Além da formação formal, os engenheiros podem melhorar as suas competências, mantendose com informações de eventos de segurança notícias e anúncios vulnerabilidade. No capítulo 3, discutimos as listas de discussão diferentes, incluindo BugTraq, que inclui discussões sões sobre as façanhas mais recentes e questões de segurança da informação. Com base no últimas notícias, os engenheiros podem tentar entender a mais nova exploits e manter actualizado com as últimas técnicas ou ferramentas de hacking. Se os engenheiros realmente deseja entender as últimas façanhas, eles podem criar um pentest laboratório e recriar a explora-se.

RESUMO O uso de um registo de gestão de risco pode ser muito benéfico para o profissional gerentes de teste de penetração do projeto, independentemente do tamanho da equipe ou a frequência dos projetos. Algumas das informações pode ser usado em diferentes tipos de projetos, não apenas PenTesting. No entanto, existem algumas questões que são únicas para testes de penetração, ou podem ter diferentes níveis de impacto do que aqueles utilizados em outros projetos -uma interrupção de rede pode ter um impacto menor sobre um canteiro de obras do que em um teste de penetração. Cabe ao gerente de projeto para adequar a resposta da equipe de risco adequado ao risco em si. O banco de dados de conhecimento vai ajudar os engenheiros para acessar os dados históricos mais fácil do que cavar através de relatórios de idade ou tentando agitar memórias. Mesmo que o entradas de dados estão em free-flow estilo, incluindo as entradas em um banco de dados, consultas podem localizar rapidamente informações relacionadas. É uma boa idéia ter alguns processo de revisão de tudo o que entra no banco de dados, para que as informações inúteis é excluído. Pós-ação comentários podem fornecer o gerente de projeto com métricas adicionais, que pode ser usada para melhorar os pontos fortes e fracos do teste de penetração membros da equipe e do processo de projeto. Certifique-se que o tom geral do comentários é positiva. Use o conhecimento adquirido nas revisões pós-ação para planejar para projetos futuros e providenciar formação adequada.

As soluções da FAST TRACK Gestão de Risco Registrar ■

Um registo de gestão de risco fornece o gerente de projeto uma forma de identificação, quantificação e gestão de riscos dentro de um projeto.

■

O registo de gestão de risco não se destina a identificar os riscos no do cliente rede -é isso que o banco de dados de conhecimento se destina.


■

Um gerente de projeto e os engenheiros de teste de penetração pode criar um risco Registro dos riscos potenciais e possíveis soluções através de brainstorming sessões.

Banco de dados de conhecimento ■

A base de conhecimento é usado para manter os dados históricos em todos os projetos realizada pela equipe de teste de penetração e os resultados finais.

■

■

Um banco de dados de conhecimento é principalmente para o benefício do teste de penetração engenheiros e será na forma de fluxo livre comentários. Revisões por pares de todas as submissões podem ajudar a identificar o que pertence ao banco de dados de conhecimento eo que deve ser descartado.

Pós-Ação de Revisão ■

Membros da equipe solicitante fornecer avaliações anonimamente pode aumentar a chance de receber opiniões honestas daqueles que trabalharam no projeto.

■

A avaliação do projeto deve identificar aspectos no teste de penetração projeto que funcionou bem, ou precisam ser melhoradas.

■

O tom geral da avaliação da equipe deve ser positivo e transmitir essa o objetivo por trás do questionário de avaliação é melhorar o projeto equipe -não encontrar a falha.


Quantas vezes deve um risco entrada registrar gestão ser reavaliado?

A:

Cada vez que um risco se torna realidade, a equipe de projeto deve avaliar os resultados do evento e modificar a entrada de registo em conformidade. Menos que haja uma necessidade premente, uma entrada não deve ser reavaliada a menos que o risco materializa.

Q:

Como um tomador de decisão lidar com um risco, posso escolher para executar uma diferente acção para além dos listados no registro de riscos? O registro de riscos é uma diretriz, destinada a fornecer opções que foram desenvolvido em momentos de calma. É impossível conhecer todas as variáveis envolvidos em eventos futuros, de modo decisões podem ser tomadas que são contrárias àquelas listados no registro de riscos. No entanto, em casos do mundo real quando um gerente desvia as opções de registro de riscos, o gerente é muitas vezes pressionado para explicar porque não seguiu as sugestões.

A:


Q:

Como é um banco de dados de conhecimento diferentes das informações encontradas em bases de dados vulnerabilidade encontrada na Internet?

A:

Entradas relacionadas a vulnerabilidades no banco de dados de conhecimento pode ser bastante semelhante ao Common Vulnerabilities and Exposures (CVE) informações posted em bancos de dados de vulnerabilidades. A diferença neste caso é que o knowentrada de dados borda só é criado quando a vulnerabilidade é encontrada dentro da corporativa ou na rede do cliente. Além disso, as informações fornecidas no a base de conhecimento será adaptado para a vulnerabilidade real, em vez de informações gerais.

Q:

Os comentários pós-acção apresentado pelos membros da equipe pedido razoável quantidade de treinamento. Quando eles não recebem o treinamento por causa do orçamento restrições ou inadequação de projetos futuros, os membros da equipe culpar mais dos atrasos na falta de treinamento adequado. Isso pode ser evitado? Fundos de formação está sempre em alta demanda e baixa oferta. Se algum treinamento o dinheiro existe, a melhor maneira de aliviar algumas das queixas é permitir que o engenheiros para priorizar sua formação, dentro dos limites dos fundos de treinamento disponíveis. Se os fundos são tão restritivas que apenas uma ou duas pessoas podem ir por ano, fazer a priorização de um projeto em grupo, e deixar os engenheiros como um seleto time que vai para os cursos -é claro, quem vai para o curso devem vir volta e ensinar o que aprenderam para o resto da equipe. Há também um monte de livre de formação disponíveis na Internet. O treinamento pode ser complementado através de essas ofertas livres.

A:

Expandir suas habilidades Quer saber sobre o planejamento para o seu pentest próxima? Os exercícios a seguir são destina-se a fornecê-lo com conhecimento e habilidades adicionais, assim você pode entender melhor este tema. Use o seu laboratório para realizar os exercícios seguintes.

EXERCÍCIO 18,1 Criar um registo de Gestão de Riscos 1.

Identificar cinco possíveis riscos para um projeto profissional teste de penetração.

2.

Fornecer pelo menos três soluções possíveis para cada entrada.

3.

Criar uma entrada de registro de risco para cada risco, usando o exemplo na Tabela 18.2 como um modelo.


EXERCÍCIO 18,2 Criar uma Base de Conhecimento 1.

Com base no relatório final gerado no Capítulo 15, Exercício 15.1, criar um conhecimento entrada de dados para cada uma das suas descobertas. Ser conciso e fornecer referências.

EXERCÍCIO FINAL EXERCÍCIO F1 Sua conduta Penetration Test própria 1.

Selecione um dos seguintes desafios: ■Desafio n º 1: Usando o LiveCD De-ICE 1,100, conduzir sua própria teste de penetração, utilizando todos os passos descritos no capítulo 9 a Capítulo 14. Produzir um relatório, tal como descrito no Capítulo 15. ■

Desafio n º 2: Usando o LiveCD De-ICE 1,110, conduzir sua própria teste de penetração, utilizando o ISSAF como seu pentest metodologia. Produzir um relatório, conforme descrito no Capítulo 15.

■

Desafio n º 3: Usando o LiveCD De-ICCE 2.100, conduzir sua própria teste de penetração, usando o Open Source Metodologia de Testes de Segurança Manual (OSSTMM) como seu pentest metodologia. Produzir um relatório como descrito no Capítulo 15 e criar um banco de dados de conhecimento de suas descobertas.


Apêndice A: Siglas Abaixo está uma lista das siglas comumente usadas. Essas siglas não são exclusivos apenas para testes de penetração ou de segurança da informação; eu incluí aqueles associados com qualquer coisa relacionada a um projeto de teste de penetração, incluindo aquelas siglas encontradas em gerenciamento de projetos. Nem todas as siglas são usadas neste livro, mas eu incluí eles, no entanto, para que você pode ter uma única fonte para recorrer quando confrontado com um acrônimo desconhecido. Você também vai encontrar algumas siglas com um militar óbvio ou do governo referência. Eu incluí-los também porque os contratos do governo são grandes empreness e essas siglas podem ser encontradas em muitos documentos relacionados à penetração teste produzido pelo governo federal ou agências.

Abreviatura

Definição

AAA

Autenticação, Autorização e Contabilidade

CA

Custo Real

ACDF

Função de controle de acesso decisão

ACI

Informações de Controle de Acesso

ACL

Access Control List

CRTR

Custo real do trabalho realizado

AD

Diretório Descrição / Atividade Active

ADM

Método do diagrama de setas

AES

Advanced Encryption Standard

AF

Data de término real

ADRP

Programa exército Router DISN

ADSL

Asymmetric Digital Subscriber Line

AFIWC

Air Force Information Warfare Center

AH

Cabeçalho de autenticação

AIS

Sistema de Informação automatizados

API

Interface de Programa Aplicativo

ASCII

Padrão Americano para Intercâmbio de Informações

ANS1

Abstract Syntax Notation (Continuação)

477

478 Apêndice A: Siglas

Abreviatura

Definição

ARP

Address Resolution Protocol

AS

Data de início real

Caixa eletrônico AV

Asynchronous Transfer Mode

BAC

Orçamento no término

BAPI

Biometria Interface de Programa Aplicativo

BCA

Bridge Autoridade Certificadora

BCWP

Custo orçado do trabalho realizado

BCWS

Custo orçado do trabalho programado

BIOS

Basic Input / Output System

BN

Rede Backbone

BOM

Lista de Materiais

BOOTP

Boot Protocol

BSD

Berkley Software Design

C&A


C / AII

Corporate / Agência Infraestrutura de Informação

C2

Comando e Controle

C4I

Comando, Controle, Comunicações, Computação e Inteligência

CA

Conta Autoridade de certificação / Control

CALEA

Comunicações de Assistência para Law Enforcement Act

CAN

Campus Area Network

CAP

Plano de Controle de Conta de

CAPI

Application Programming Interface criptográfico

CAT

Tecnologia de autenticação comum

CAW

Certificado Workstation Autoridade

CC

Common Criteria

CCB

Change Control Board

CCE

Enumeração de configuração comuns

CCI

Item Cryptographic Controlada

CDMA

Code Division Multiple Access

Antivirus

Apêndice A: Siglas 479

Abreviatura

Definição

CDR

Revisão crítica do projecto

CDSA

Arquitetura de Segurança de Dados Comuns

CERT

Computer Emergency Response Team

CFD CGE

Dispositivos comuns de preenchimento Cisco Exploiter Global

CGI

Common Gateway Interface

CH

Host correspondência

CI

Interface de criptografia / Item de Configuração

CIO

Chief Information Officer

CIAC

Incident Advisory Capability computador

CIDF

Quadro de Detecção comum Instrução

CIK

Crypto-chave de ignição

CIRT

Computer Incident Response Team

CISO

Chief Security Officer da Informação

CKL

Comprometida Lista chave

CM

Gerenciamento da Configuração

CMA

Certificado de autoridade de gestão

CMI

Certificado de Infra-estrutura de Gestão

CMIP

Common Management Information Protocol

CMP

Protocolos de Gestão certificado

CMS

Certificado de Sistemas de Gestão

CMUA

Certificado de User Agent Management

COA

Curso de Ação

COE

Ambiente operacional comum

COMSEC

Segurança das Comunicações

CONOPS

Conceito de Operações

COQ

Custo da Qualidade

CORBA

Common Object Request Broker Architecture

COTS

Commercial-Off-The-Shelf

CP

Política de Certificado / Critical Path (Continuação)


Abreviatura

Definição

CPF CPI

Custo mais remuneração Índice de Desempenho de custo

CPM

Critical Path Method

CPS

Declaração de Práticas de Certificação

CRL

Lista de Certificados Revogados

CSA

Computer Security Act

CSP

Cryptographic Service Provider

CSRA

Áreas de requisito essencial de segurança

MASC

Comum Security Manager Serviços

CTO

Diretor de Tecnologia

CV

Variância cumprimento de validação / Custo

CVE

Common Vulnerability and Exposures

CVI

Inspeção de validação de conformidade

CVSD

Detecção Continuously Variable Slope

CVSS

Scoring System Common Vulnerability

CWBS

Contrato Work Breakdown Structure

CWE

Enumeração fraqueza comum

DAA

Autoridade Designada Aprovando

DAC

Controle de Acesso Discricionário

DAP

Directory Access Protocol

DD

Data de dados

DER

Distinguished Encoding Rules

DES

Data Encryption Standard

DHCP

Protocolo de Controle de Dynamic Host

DIT

Directory Information Tree

DMS

Defesa Messaging System

DMZ

Zona demilitarizada

DN

Nome Distinto

DNS

Domain Name Server

DNSSEC

Domain Name System Security


Abreviatura

Definição

DOS

Denial of Service

DSA

Serviço de agentes de diretório

DU

Duração

EAC

Estimativa na Conclusão

EAL

Evaluation Assurance Level

ECAs

Autoridades de Certificação externa

EF

Data de Término do início

EKMS

Sistema de Gerenciamento Eletrônico Chave

EMV

Valor Monetário Esperado

ESM

Encapsulamento de Gestão de Segurança

ES

Data de início precoce

ESP

Encapsular Security Payload

ETC

Estimativa para terminar

EUT

Terminal do usuário final

EV

Valor Esperado / Earned Value

FedCIRC

Federal Computer Incident Response Center

FF

Float Finish-to-Finish/Free

FFP

Empresa-Fixed-Price

FIPS

Federal Information Processing Standards

FIRST

Fórum de Resposta a Incidentes de Segurança e Team

FISMA

Federal Information Processing Standards

FMEA

Failure Mode and Effect Analysis

FPIF

Fixed-Price-Incentive-Fee

FrSIRT

Francês Security Incident Response Team

FS

Finish-to-Start

FSRs

Funcionais Requisitos de Segurança para Especificação

FTP

File Transfer Protocol

FW

Firewall

GSA KMP

Grupo Service Association Key Management Protocol

GUI

Interface Gráfica de Usuário (Continuação)


Abreviatura

Definição

Güls

Layer Security geral Upper

HAG

Guarda de Garantia de alta

HF

Alta freqüência

HTML

Hyper Text Markup Language

HTTP

Hyper Text Transfer Protocol

I&A

Identificação e autenticação

IA

Garantia da Informação

IAM

Metodologia de Avaliação INFOSEC

IATF

Information Assurance Framework Técnica

IBAC

Identidade Controle de Acesso Baseado

IC

Comunidade de Inteligência

ICMP

Internet Control Message Protocol

ICRLA

Indiretos Certificate Authority lista de revogação

ID

Identificador

Deslocados internos IDS

Detecção de Intrusão e Sistema de Prevenção

IDUP

Proteção da Unidade de dados independente

IEEE

Instituto de Engenheiros Elétricos e Eletrônicos

IEM

INFOSEC Metodologia de Avaliação

IETF

Internet Engineering Task Force

IFB

Convite para licitação

IIS

Internet Information Server

IKE

Internet Key Exchange

ILS

Apoio Logístico Integrado

IMAP

Internet Mail Access Protocol

INE

Inline Network Encryptor

INFOSEC

Segurança da Informação

IP

Internet Protocol

IPN

Rede de Proteção à Informação

IPS

Intrusion Prevention System

Sistema de Detecção de Intrusão


Abreviatura

Definição

IPSec

Internet Protocol Security

IPX

Packet Internet Exchange

IR

Infravermelho

IS

Sistemas de Informação

ISAKMP

Internet Security Association e Key Management Protocol

ISDN

Integrated Services Digital Network

ISO

International Organization for Standardization

ISSAF

Informações do Sistema de Segurança Quadro de Avaliação

ISSO

Information Systems Security Organization

TI

Tecnologia da Informação

ITL

Laboratório de Tecnologia da Informação

IW

Guerra de Informação

KMI LAN

Infra-estrutura de gerenciamento de chaves Rede de Área Local

LDAP

Lightweight Directory Access Protocol

LDM / KP

Local Device Management / Processador chave

LF

Data de término mais tarde

LOE

Nível de Esforço

LPD

Baixa probabilidade de detecção

LPI

Baixa probabilidade de interceptação

LRA

Autoridade de Registro Local

LS

Data de início tardio

MAC

Mandatory Access Control

MAN

Metropolitan Area Network

MD5

Message Digest 5

MILS

Múltiplos, independente Níveis de Segurança

MIME

Multipurpose Internet Mail Extension

MSN

Mission Statement Necessidades

MoE

Medida de Eficácia

MSP

Message Security Protocol (Continuação)


Abreviatura

Definição

MTA

NAT

Protocolo de Transferência de Mensagens Sistema de Transferência de mensagem Network Address Translation

NES

Sistema de criptografia de rede

NIC

Placa de Rede

NIS

Rede de Sistema de Informação

NIPC

Infra-estrutura Nacional Protection Center

NIST

National Institute of Standards and Technology

NOS

Rede do Sistema Operacional

NSA

Network Security Agency

NSF

Network Security Framework

NVD

National Vulnerability Database

OBS

Estrutura Analítica Organizacional

OD

Duração Original

OIG

Gabinete do Inspector-Geral

OMB

Office of Management and Budget

OPSEC

Segurança Operacional

ORD

Documentos operacionais Requisitos

OS

Sistema Operacional

OSI

Interconexão de Sistemas Abertos

OSSTMM

Open Source Security Manual Metodologia de Testes

OWASP

Open Web Application Security Project

P2P

Peer-to-Peer

PAA

Autoridade política Aprovando

PBX

Private Branch Exchange

PC

Complete por cento

PCA

Política de Criação Autoridade

PCI PDA

Protocolo de Informações de Controle de Personal Digital Assistant

PDM

Método do Diagrama de precedência

MTS


Abreviatura

Definição

PERL

Prática de Extracção e Relatórios Linguagem

PF

Data de Término do planejado

PGP

Pretty Good Privacy

PII

Informações de Identificação Pessoal

PIN

Número de Identificação Pessoal

PKCS

Public Key Cryptographic Standards

PKI

Infra-estrutura de Chaves Públicas

PM

Gerente de Projetos / Project Management

PMA

Política de Gestão de Autoridade

PMBOK

Body of Knowledge Project Management

PMIS

Projeto Sistema de Informações Gerenciais

PMO

Project Management Office

PMP

Project Management Professional

PPP

Point-to-Point Protocol

PS

Data de início planejada

PSTN

Public Switched Telephone Network

PSWBS

Resumo do projeto Work Breakdown Structure

PV

Valor planejado

QA

Garantia de Qualidade

QC

Controle de Qualidade

QOS

Qualidade de Serviço

RADIUS

Dial Acesso Remoto In User Service

RAM

Matriz de Responsabilidades

RBAC RBR

Regra de Controle de Acesso Baseado Regra Raciocínio Baseado

RBS

Resource Breakdown Structure Breakdown Structure / Risco

RD

Duração restantes

RFC

Request for Comment

RFP

Solicitação de Proposta

RFQ

Pedido de cotação (Continuação)


Abreviatura

Definição

ROE

Rules of Engagement

RTM

Requisitos Matriz de Rastreabilidade

S / MIME

Secure / Multipurpose Internet Mail Extension

SCADA

Controle Supervisório e Aquisição de Dados

SCAP

Protocolo de Segurança Automação Conteúdo

SDD

Dispositivo de dados segura

SDE

Secure Data Exchange

SDLC SET

Sistema de Ciclo de Vida de Desenvolvimento Transação eletrônica segura

SF

Data programada Finish / Start para Finish

SFTP

Transfer Protocol Secure File

SHA

Algoritmo de hash seguro

SID

Identificação do sistema

SIP

Session Initiation Protocol

SKM

Gerenciamento de Chave Simétrica

SLA

Contratos de Nível de Serviço

SMB

Server Message Block

PME

Especialista no assunto

SMI

Security Infrastructure Management

SMIB

Security Management Information Base

SMTP

Simple Mail Transfer Protocol

SNMP

Simple Network Management Protocol

SOW

Declaração de Trabalho

SPG

Security Group Program

SPI

Schedule Performance Index

SS

Programada Data de Início / Start para Iniciar

SSA

System Security Administrator

SSAA

Sistema de Autorização de Acordo de Segurança

SSH

Secure Shell

SSID

Service Set Identifier


Abreviatura

Definição

SSL

Secure Sockets Layer

SSN

Número de Segurança Social

STE

Teste e Avaliação de segurança

SV

Variação do cronograma

SWOT

Forças, Fraquezas, Oportunidades e Ameaças

TC

Data de Conclusão alvo

TCB

Trusted Computing Base

TCP

Transmission Control Protocol

TCP / IP

Transmission Control Protocol / Internet Protocol

TDMA

Time Division Multiple Access

TF

Concluir-alvo Data / Float Total

TFTP

Trivial File Transfer Protocol

TLS

Transport Layer Security

TM

Tempo e Material

TOE

Alvo de avaliação

TPEP

Trust Programa de Avaliação de Produtos

TQM

Gestão da Qualidade Total

TS

Data de Início do alvo

TTP

Trusted Terceiros

UDP

User Datagram Protocol

URL

Uniform Resource Locator

USB

Universal Serial Bus

VE

Engenharia de Valor

VM

Máquina Virtual

VoIP

Voice over Internet Protocol

VPN

Rede Privada Virtual

WAN

Wide Area Network

WBS

Work Breakdown Structure

WEP

Wired Equivalent Privacy

WIDPS

Detecção de Intrusão Wireless e Sistema de Prevenção (Continuação)


Abreviatura

Definição

WIFI

Wireless Fidelity

WLAN

Wireless Local Area Network

WPA

Wi-Fi Protected Access

WVE

Vulnerabilidades e Exploits sem fio

XML

Extensible Markup Language

Apêndice B: Definições Terminologia

Definição

Controle de Acesso

Um serviço de segurança que impede o uso não autorizado de sistema de informação recursos (Information Assurance Técnico-quadro [IATF], 2000). Mecanismo de execução de acesso discricionário e / ou obrigatórias controle entre sujeitos e objetos (IATF, 2000).

Access Control List

Responsabilidade

A meta de segurança que gera a necessidade de ações de uma entidade a ser rastreado exclusivamente a essa entidade. Isso apóia nonrepudiation, dissuasão, isolamento de falhas, detecção de intrusão e prevenção, e após a ação de recuperação e ação legal (IATF, 2000).

Nível de aplicativo Firewall Um sistema de firewall em que o serviço é fornecido através de processos que mantêm estado da conexão TCP completa e seqüenciamento; nível de aplicação firewalls, muitas vezes o tráfego de re-address de modo que o tráfego de saída parece ter originou-se do firewall, em vez do host interno. Em contraste com firewalls de filtragem de pacotes, este firewall deve ter conhecimento da Application Protocol de Transferência de Dados e, muitas vezes tem regras sobre o que pode ser transmitido eo que não pode ser transmitida (IATF, 2000). Programa de aplicação Interface

Um conjunto de interrupções de software standard, chamadas e formatos de dados que programas de aplicação usar para iniciar o contato com serviços de rede, mainframe programas de comunicações, equipamento de telefone, ou programa para programa de comunicação (IATF, 2000).

Autenticação

Medida de segurança projetado para estabelecer a validade de uma transmissão, mensagem, ou originador, ou um meio de verificar a elegibilidade de um indivíduo para receber categorias específicas de informações (IATF, 2000).

Autorização

O processo de determinar que tipos de atividades são permitidas; Normalmente, a autorização é no contexto de autenticação: uma vez que você autenticado um usuário, eles podem ser autorizados diferentes tipos de acesso ou atividade (IATF, 2000).

Disponibilidade

A propriedade de ser acessível e utilizável sob demanda por uma entidade autorizada (IATF, 2000).

Banner Agarrando

O processo de captura de informações de faixa, tais como tipo de aplicação ea versão que é transmitida por uma porta remota quando uma conexão é iniciado (NIST, 2008).


A certificação é a avaliação global da técnica e características não técnicas de segurança de um sistema intermediário (IS) e outros salvaguardas, feito em apoio ao processo de acreditação, para estabelecer na medida em que uma determinada concepção e implementação reúne um conjunto dos requisitos especificados (IATF, 2000). (Continuação)

489

490 Apêndice B: Definições

Terminologia

Definição

Challenge / Response

Uma técnica de autenticação pelo qual um servidor envia um imprevisível desafio para o usuário, que computa uma resposta usando alguma forma de um autenticação de token (IATF, 2000).

Common Criteria

Os critérios comuns para Avaliação de Segurança da Informação A tecnologia é uma catálogo de segurança funcionais e requisitos de garantia e tem um papel central no Programa Nacional Information Assurance (IATF, , 2000).

Confidencialidade

Um serviço de segurança que impede a divulgação não autorizada de informação que residem em um computador, que transitam de uma rede local, ou que flui ao longo de um Internet (IATF, 2000).

Covert Channel

Qualquer canal de comunicação que pode ser explorada por um processo de transferência de informação de uma forma que viola a política de segurança do sistema (IATF, 2000).

Teste Covert

Testes realizados utilizando métodos secretos e sem o conhecimento do tecnologia da organização da informação (TI), mas com equipe completa conhecimento e permissão da gerência superior (NIST, 2008).

Defesa em Profundidade

A abordagem de segurança em que camadas de proteção são necessários para estabelecer uma postura de segurança adequada para o sistema; estratégia baseiase no conceito de que os ataques devem penetrar várias proteções que foram colocados em todo o sistema para ser bem sucedido (IATF, 2000).

Certificado Digital

Uma estrutura para a ligação a identidade de um principal de sua chave pública. A autoridade de certificação (CA) emite e assina digitalmente o certificado digital (IATF, 2000).

Acesso Discricionário Controle

Um método baseado nonpolicy de restringir o acesso a arquivos de um sistema e objetos com base na decisão do proprietário do recurso (IATF, 2000).

Due Diligence

Prudência e cautela necessárias durante o desempenho de um ato (Tais como testes de penetração).

Segurança encapsular Payload

Este cabeçalho da mensagem é projetado para fornecer uma mistura de serviços de segurança que fornece confidencialidade, autenticação da origem de dados, sem conexão integridade, um serviço antireplay e confidencialidade do fluxo de tráfego limitado (IATF, 2000).

O teste de segurança externa de Segurança Testes realizados a partir do exterior de segurança da organização perímetro (NIST, 2008). Falsos negativos Uma ausência de um alerta quando a vulnerabilidade está presente. Falso Positivo Um alerta que indica incorretamente que a vulnerabilidade está presente (NIST, 2008). Firewall

Um sistema ou combinação de sistemas que impõe um limite entre duas ou mais redes (IATF, 2000).

Apêndice B: Definições 491

Terminologia

Definição

Hash

Valor calculado em dados para detectar erro ou manipulação (IATF, 2000).

Host-Based Security

A técnica de obtenção de um sistema individual de ataque; baseado em host segurança é a versão do sistema operacional e dependentes (IATF, 2000).

Identificação e Autenticação

A identificação de uma entidade com algum nível de garantia (IATF, 2000).

Ataque Insider

Um ataque proveniente de dentro de uma rede protegida (IATF, 2000).

Integridade

A meta de segurança que gera a necessidade de proteção contra ou tentativas intencional ou acidental de violar a integridade dos dados ou sistema de integridade (IATF, 2000).

Detecção de Intrusão

Detecção de invasões ou tentativas de invasão manualmente ou através de software de sistemas especialistas que operam em logs ou outras informações disponível na rede (IATF, 2000).

Detecção de Intrusão Sistema

Um sistema que detecta e identifica a atividade não autorizada ou incomum em os hosts e redes; isso é feito através da criação de auditoria registros e verificar o log de auditoria contra os limiares de intrusão (IATF, 2000).

Prevenção de Intrusão

Intercepção de arrombamentos ou tentativas de invasão através especialista em software sistemas que operam em informações disponíveis na rede. Softwares maliciosos destinados a comprometer ou negar acesso a um sistema.

Malware Acesso obrigatório Controle

Política de métodos baseados em controle de restringir o acesso a um sistema de arquivo / objetos em que os administradores não, os proprietários de recursos, fazer decisões que se relacionam com o acesso ou derivar de política de controle de acesso (IATF, 2000).

Descoberta de rede

O processo de descoberta ativa e respondendo hosts em uma rede, identificação de pontos fracos, e aprender como a rede opera (NIST, 2008).

Sniffing rede

A técnica passiva que monitora a comunicação de rede, decodifica protocolos, e analisa os cabeçalhos e cargas para obter informações de interesse. É tanto uma técnica de revisão e uma identificação de alvos e técnica de análise (NIST, 2008).

Sistema Operacional Fingerprinting

Analisando as características dos pacotes enviados por um alvo, tais como pacotes cabeçalhos ou portas de escuta, para identificar o sistema operacional em uso no alvo (NIST, 2008).

Teste aberta

Testes de segurança realizados com o conhecimento e consentimento do tecnologia de organização da informação (TI) Pessoal (NIST, 2008).

Paridade

Bits usados para determinar se um bloco de dados tenha sido alterado (IATF, 2000). (Continuação)

492 Apêndice B: Definições

Terminologia

Definição

Teste de segurança passivaTestes de segurança que não envolve qualquer interação direta com o metas, tais como envio de pacotes a um alvo (NIST, 2008). Cracking senha

Teste de Invasão

Perímetro-Based Segurança

O processo de recuperação de senhas secretas armazenados em um computador sistema ou transmitida através de uma rede (NIST, 2008). Testes de segurança em que os avaliadores simulam ataques do mundo real em um tentativa de identificar formas de contornar os recursos de segurança de um de aplicativo, sistema ou rede. Testes de penetração, muitas vezes envolve emissão de ataques reais em sistemas e dados reais, usando as mesmas ferramentas e técnicas utilizadas por atacantes reais. A maioria dos testes de penetração envolvem à procura de combinações de vulnerabilidades em um sistema único ou múltiplo sistemas que podem ser usadas para ganhar mais acesso do que poderia ser alcançado através de uma única vulnerabilidade (NIST, 2008). A técnica de segurança de uma rede de acessos de controle para todas as entradas e pontos de saída da rede (IATF, 2000).

Phishing

Uma forma digital de engenharia social que utiliza autênticos e-mails para solicitar informações de usuários ou encaminhá-los para um site falso que pedidos de informação (NIST, 2008).

Port Scanner

Um programa que pode determinar quais portas remotamente em um sistema são aberto, e se o sistema permite a conexão nessas portas (NIST, 2008).

Procuração

Um agente de software que atua em nome de um usuário. Tipicamente proxies aceitar uma conexão de um usuário, tomar uma decisão sobre se ou não o usuário ou cliente Internet Protocol (IP) é permitido para usar o proxy, talvez não de autenticação adicional, e, em seguida, completa um conexão em nome do usuário a um destino remoto (IATF, 2000).

Dispositivo de Rogue

Um nó não autorizadas na rede (NIST, 2008).

Rules of Engagement

Diretrizes detalhadas e restrições no tocante à execução de testes de segurança da informação. As Regras de Empenhamento são estabelecidos antes do início de um teste de segurança, e dá a autoridade equipe de teste para realizar atividades definidas sem a necessidade de permissões adicionais (NIST, 2008).

Sanitização

A mudança das informações de conteúdo para atender os requisitos da nível de sensibilidade da rede à qual a informação está sendo enviada (IATF, 2000).

Engenharia Social

Um ataque baseado em usuários enganando ou administradores no local de destino; os ataques são normalmente realizadas por um adversário usuários telefonar ou operadores, e fingindo ser um usuário autorizado, para tentar ganhar acesso ilícito a sistemas (IATF, 2000).

Apêndice B: Definições 493

Terminologia

Definição

Cavalo de Tróia

A entidade de software que aparece para fazer algo normal, mas na verdade contém um alçapão ou programa de ataque (IATF, 2000).

Máquina Virtual

Software que permite que uma única máquina para executar um ou mais operacional convidado sistemas (NIST, 2008). Um segmento de código de auto-replicação; vírus pode ou não conter o ataque programas ou alçapões (IATF, 2000).

Vírus

Minhoca

Propaga-se através da memória ou redes sem necessariamente modificação de programas. Um worm é semelhante a um vírus porque tem a capacidade de replicar, mas difere de um vírus em que não procurar uma host (IATF, 2000).

Referências Agência de Segurança Nacional Solutions Information Assurance Diretores Técnicos. (2000). Garantia de informações técnicas Framework (IATF). Obtido em http://www.dtic.mil/ cgi-bin/GetTRDoc? AD = ADA393328 & Location = U2 & doc = GetTRDoc.pdf NIST. (2008). SP 800-115 -Guia técnico para Testes de Segurança da Informação e Avaliação. Obtido em http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf


Índice A Coleta de informações Active Interrogatório DNS comandos adicionais dentro nslookup, 240 BIND número da versão, 238-239 contas de correio electrónico dedo vs Hackerdemia LiveCD, 241-242 Hackerdemia LiveCD, 240-242 levantamento da rede Netdiscover resultados em laboratório de redes, 247 Nmap varredura no laboratório de redes, 246 perímetro da rede de identificação Cisco switch, 245 Elementos de rede do Google, 242, 245 ôwhoisö informações, 242-245 Sistemas de traceroute, 243-244 Active OS fingerprinting, 272 Address Resolution Protocol (ARP), 274-275 Após ação de revisão avaliações do projeto, 470-471 avaliações da equipe, 471 propostas de formação, 471-473 American Society for Industrial Security (ASIS), 85 Logs de aplicativos sem sucesso tentativas de login, 396 / Var / log / arquivo de log de mensagem, 397 Aplicação de segurança, 169 Arquivamento de dados mantendo nada / mantendo tudo, 443-444 e-mail, 446 resultados e relatórios, 446-447 questões jurídicas, 444 laboratório de dados análise de malware, 454-455 prova de conceitos, 454 assegurar a documentação controles de acesso, 448 locais de arquivo, 449-450 métodos de arquivamento, 448-449 políticas de destruição, 450 ASIS. Ver American Society for Industrial Segurança attrib comando, 402-403

Basic Service Set Identifier (BSSID), 359 Berkeley Internet Name Domain (BIND) servidor, 238 Black Hat hackers, 15-17 Botnet, 138 Bugtraq, lista de discussão, 93

C CAN-SPAM Act, 30 PAC. Ver Certificação e Acreditação Profissional (CAP) Plano de carreira, testes de penetração aplicação e bancos de dados, 48 arquitetura de rede, 46-47 sistema de administração, 47-48 CCSPA. Ver CheckPoint Certified Security Princípios Associado Certificação e Acreditação Profissional (PAC), 53-54 Certificações. Ver Alto nível de certificações; Competências e certificações específicas do fornecedor contratos com o governo, 50 recursos humanos (RH), 49 Certified Information Security Manager (CISM) certificação, 57-58 Certified Information Systems Auditor (CISA) certificação, 57 Certified Information Systems Security Professional (CISSP), 14 Certified Software Lifecycle Professional Secure (CSSLP), 54 CheckPoint Princípios Security Certified Associate (CCSPA), 74-77 CISA. Ver Certified Information Systems Auditor Certificações Cisco CCIE segurança, 67-70 CCNA de segurança, 66 CCSP, 66-67 Cisco Certified Internetwork Expert (CCIE), 67-70 Cisco Certified Network Associate (CCNA), 66 Cisco Certified Security Professional (CCSP), 66-67 CISM. Ver Certified Information Security Manager CISSP. Ver Certified Information Systems Security Profissional "Clean shop " mudar os controles de gestão, 461-462

B BackTrack, LiveCD, 9 laboratório de teste de penetração, 7 Ataques baiting, 355

495

496 Índice

"Clean shop " (Cont.) métodos de higienização BIOS malware, 461 DBAN, ferramenta OpenSource, 458 shred lançamento, 458-460 usando hashes, 461 Diplomas universitários. Ver Certificações Comunicações do plano de manejo, 333 CompTIA Security + certificações, 61-63 Criminalidade informática crimes e ataques, tipos de, 24-27 Leis internacionais, 30-31 Safe Harbor e da Directiva 95/46/CE, 31-32 tipos de leis, 24 Leis U. S. Federal, 27-29 Leis U. S. Estado, 29-30 Hackers de computador Black Hat hackers, 15-17 Gray Hat hackers, 18 Hackers de chapéu branco, 17-18 CORE IMPACT, 332 instalação antivirus aviso, 305 explora escrito em Python, 307 atualização de notificação, 307 de Visual C + + redistribuível, 306 métricas relatório Debian lançamento explorar OpenSSL, 423 executivo relatório, 420 OpenSSL explorar, 422 opções de geração de relatório, 419 explorar OpenSSL sucesso, 424 vulnerabilidade relatório, 421 exploração de vulnerabilidades BackTrack servidor, 319-320 criptografar espaço de trabalho, 314 seleção de licença, 313 configuração de rede, 316-317 rede agendamento teste de vulnerabilidade, 308 novo espaço de trabalho, 312 OpenSSL mensagem de erro explorar, 319 rápida pentest, 317 tela de abertura e de primeira página, 309 informações sobre o alvo, 318 atualização notificação, 310-311 workspace tela de conclusão de instalação, 315 Corporate laboratórios de penetração equipamentos, 107-108 laboratórios internos e externos, 107 manutenção e sistemas de aplicação de patches, 106-107 software, 108 vs laboratórios de pessoal, 106

Cross-site scripting ID gerente de sessão, 328, 330 NIST Special Publication 800-95, 327 Ataques XSS, 330 Cryptcat, ferramenta de tunelamento, 386 CSSLP. Ver Certified Software Lifecycle Secure Professional (CSSLP) CTF eventos, 145

D Banco de dados de segurança, 170 Criptografia de dados, 108-109 Dados hashing, 109-110 Redes de dados, 174 Protecção de dados criptografia criptografia de dados, 108-109 dados hashing, 109-110 móveis de segurança, 111 segurança de sistemas pentest, 110-111 sem fio de dados de laboratório, 112 DBAN, ferramenta OpenSource, 458 De-ICE LiveCDs, 9 laboratório de teste de penetração, 7 Pentest configuração do laboratório, 128 1,100 cenário, 124-125 1,110 cenário, 125-126 2,100 cenário, 126-127 vulnerabilidades, 124 Zonas desmilitarizadas (DMZ), 242 Método de desenvolvimento de sistemas dinâmicos (DSDM) consórcio, 64-65

E Túneis criptografados conexão firewall host Iptables em configurar Hackerdemia servidor, 380 Nmap scan de Hackerdemia servidor, 381 abrir shell seguro (SSH), 379 SSH reverso setup shell lançamento shell criptografada reverso, 384-386 público / privado de configuração chaves, 381-384 configuração de rede de túneis, 379-380 ferramentas de tunelamento, 386-387 Padrões éticos certificações, 19 contratante, 19-20 organizações educacionais e institucionais Information Systems Security Association (ISSA), 21 Institute of Electrical and Electronics Engineers (IEEE), 22

Índice 497

Internet Activities Board (IAB), 21-22 Organização para a Cooperação Económica e Desenvolvimento Econômico (OCDE), 22-23 empregador, 20-21 Alvos exploráveis aplicações, 137 sistemas operacionais, 136 Explorar os códigos ferramentas automatizadas ferramentas de exploração, 291-292 vulnerabilidade scanners, 291 criação de aplicação revertendo, 324-325 revisão de código, 324 fuzzing, 322-324 Sites Internet, 287 Webmin, 288-290 Extended Service Set Identifier (SSID), 359 Teste de laboratório externo penetração, 107

F Focus-IDS, lista de discussão, 93 Foundstone segurança de rede, 131-132

G GIAC Certified Project Manager (GCPM) certificação, 67, 70 Global Information Assurance Certification (GIAC) GIAC Certified Tester Penetração (GPEN), 73-74 GIAC Security Fundamentals Informação (GISF), 70-71 GIAC Security Essentials Certificação (GSEC), 70-72 GIAC Security Expert (GSE), 60 GIAC Security Certification Liderança (GSLC), 59 GIAC Web Application Tester Penetração (GWAPT), 73 Certificações ISS, 58 Gray Hat hackers, 18

listas de discussão, 93-94 organizações profissionais, 85 Capture the Flag (CTF) eventos, 145 hackers de computador Black Hat hackers, 15-17 Gray Hat hackers, 18 Hackers de chapéu branco, 17-18 obter permissões auditoria e monitoramento, 35 obrigações da empresa, 33-34 acordo de confidencialidade, 32-33 de gestão de conflitos, 35-36 obrigações contratante, 34-35 Software Open Source, 103 vulnerabilidade anúncios, 146-147 Web-based desafios, 145-146 Função hash, 109 Escondendo arquivos à vista lista de diretórios, 398 Hackerdemia LiveCD, 398-399 usando sistema de arquivos Backdoor, 402 FTP de instalação, 399 modificada script Backdoor e log in, 400 Netcat processo, 401 no Windows attrib comando, 402-403 diretório escondido, 403-404 Alto nível certificações CompTIA Security + certificações, 61-63 GIAC, 58-60 ISACA, 57-58 [(ISC) 2], 52-57 Honeypots, 138 Host de segurança, 168-169 Segurança humana, 173

Eu

H Hackerdemia LiveCD, 9 Nmap Scan de, 127, 129 laboratório de teste de penetração, 7 configuração do sistema, 130 turn-key cenário, 127-128 Hacking associações e organizações conferências, 85-92 comunidades locais, 92-93

IEEE. Ver Institute of Electrical and Electronics Engenheiros Processo de distribuição de informações, 332 Coleta de informações coleta de informações ativos DNS interrogatório, 238-240 E-mail contas, 240-242 levantamento da rede, 246-247 perímetro da rede de identificação, 242-245 recolha de informação passiva dados corporativos, 231-232 Recursos da Internet, 236-238 fontes de terceiros, 221

498 Índice

Coleta de informações (Cont.) Presença na web, 222-238 WHOIS e DNS enumeração, 233-236 gerenciamento de projetos fase de processo de execução, 248-250 monitoramento e controle de processos, 250-252 Sistemas de Informação de Auditoria e Controle Associação (ISACA) Certified Information Security Manager (CISM) certificação, 57-58 Certified Information Systems Auditor (CISA) certificação, 57 organização profissional, 85 Informações do sistema de segurança quadro de avaliação (ISSAF), 191-192 avaliação aplicação de segurança, 169 banco de dados de segurança, 170 host de segurança, 168-169 segurança de rede, 168 penetração camadas de teste, 167 engenharia social, 170 clean-up e destruir artefatos, 171 acesso e privilégio, 339-340 metodologia, 285 planejamento e preparação, 166 relatórios, 170-171 Information Systems Security Arquitetura Professional (ISSAP), 55 Information Systems Security Association (ISSA), 21, 85 padrões éticos, 21 profissionais de segurança da informação, 85 Sistemas de Informação Engenharia de Segurança Professional (ISSEP), 55-56 Information Systems Security Management Professional (ISSMP), 19, 55-56 Institute of Electrical and Electronics Engineers (IEEE) padrões éticos, 22 informações organizações de segurança, 85 Teste de laboratório interno de penetração, 107 Vulnerabilidades internas explorar aviso, 344 os agentes locais, 343 exploits locais no CORE IMPACT, 342 remoto shell lançamento, 345 shell root em pWnOS, 346 shell em pWnOS, 341 International Information Systems Security Certificação Consórcio [(ISC) 2] associado de, 52-53 CAP, 53-54

CBK, 52 programas de certificação, 52 CISSP, 54-55 CISSP-ISSAP, 55 CISSP-ISSEP, 55-56 CISSP-ISSMP, 56-57 CSSLP, 54 SSCP, 53 Internet Activities Board (IAB), padrões éticos, 21-22 2 [(ISC)]. Ver Information Systems International Security Certification Consortium Ishikawa diagrama, 249 ISSA. Ver Information Systems Security Association ISSAP. Ver Information Systems Security Arquitetura Profissional ISSEP. Ver Information Systems Security Profissionais de Engenharia ISSMP. Ver Information Systems Security Management Professional

J A Juniper Networks, 77-78

K Banco de dados de conhecimento criação de, 468 gerenciamento de projetos, 469-470 sanitização dos resultados, 469

L Dados de laboratório arquivamento análise de malware, 454-455 prova de conceitos, 454 LiveCDs, 4, 8-9 Arquivos de log logs de aplicativos sem sucesso tentativas de login, 396 / Var / log / arquivo de log de mensagem, 397 manipulação Hackerdemia LiveCD, 392-393 modificando e combinando, 395 duas opções, 392 / Var / log / secure, 393-394 administradores de sistema, 391

M Análise de malware criação de ambiente controlado, 139-140 colheita Nepenthes honeypot, 140, 142 Módulos de Nepenthes, 141

Índice 499

análise da informação, 142 Metasploit ataque vs Nepenthes, 143 Nepenthes log de ataques, 144 máquinas virtuais, 139 virtual vs nonvirtual laboratórios, 138-139 Matahari, ferramenta de tunelamento, 386 MD5 hash, 109-110 Metasploit exploração de vulnerabilidades ferramenta, 305 Análise metodológica Informações do sistema de avaliação de segurança quadro (ISSAF) avaliação de fase, 167-170 clean-up e destruir artefatos, 171 planejamento e preparação, 166 relatórios, 170-171 Open source metodologia de testes de segurança manual (OSSTMM) canais, 173-174 versão anterior do, 172 módulos, 175-176 regras de engajamento, 172-173 Corpo do projeto de gestão do conhecimento (PMBOK) grupo de encerramento do processo, 163 grupo de processos em execução, 161-162 grupo de processos iniciando, 155-157 monitoramento e controle de processo de grupo, 163-165 grupo de processos de planejamento, 157-160 vs quadro, 154 Métrica CORE IMPACT Debian lançamento explorar OpenSSL, 423 executivo relatório, 420 OpenSSL explorar, 422 opções de geração de relatório, 419 explorar OpenSSL sucesso, 424 vulnerabilidade relatório, 421 ISSAF, 191-192 análise de método misto, 185-186 Nessus Nessus scan, 416-417 sensibilidade da matriz, 418 OSSTMM, 192-193 análise de risco qualitativa, 183-184 análise quantitativa, 182-183 métodos de análise de risco análise da árvore de decisão, 190 análise do valor monetário esperado, 189 avaliação especializada, 187-188 modelagem e análise de simulação, 190-191

distribuição de probabilidade, 188 análise de sensibilidade, 188-189 ferramenta de relatórios gerados, 193-194 Certificações Microsoft, 78-82 Monte-Carlo análise de simulação, 190-191

N Nessus scanner, 193-194 padrão opções de digitalização, 301 seleção de recursos, 293 plug-ins de opções, 296 registro de produtos prompt, 294 Registro de página e notificação de êxito, 295 scan sinopse resultado, 304 configuração do servidor, 297 seleção de servidor, 302 seleção de alvos, 300 Site Security Network sustentável da Web, 292 ameaça-Webmin, 302-303 espaço de trabalho, 299 Netcat shell reverso. Ver Reverse shell sistema de ataque aceitar conexão Netcat pedido, 378 servidor ataque de ligação, 377 usando Netcat, 376 Netcat shell aplicações de, 372 backdoor usando, 374-375 representação gráfica, 373 Hackerdemia LiveCD servidor, 374 Hardware de rede firewall evasão, 113-114 IDS / IPS sistema, 114 routers, 113 Pacote de rede sniffing ARP ataque de envenenamento, 351 ettercap menu de ajuda, 350 credenciais de login, 353-354 man in the middle (MITM) ataques método, 348-349 diagrama de rede, 349 Webmin portal página de login, 352 Segurança de rede, 168 Norton Ghost, ferramenta de fantasmas, 457

O Open Secure Shell (SSH), 379 Open source de segurança manual metodologia de testes (OSSTMM), 192-193, 286 canal redes de dados, 174 segurança humana, 173

500 Índice

Open source de segurança manual metodologia de testes (OSSTMM) (Cont.) física de auditoria de segurança, 173-174 telecomunicações, 174 de comunicação sem fio, 174 versão anterior do, 172 módulos definições, 175 fase de informação, 175-176 interativa fase de teste controles, 176 fase de regulamentação, 175 regras de engajamento, 172-173 Software Open Source, 103 Abrir o aplicativo Web de segurança do projeto (OWASP), 132-136. Veja também WebGoat Organização para a Cooperação Económica e Desenvolvimento Econômico (OCDE) padrões éticos, 22-23 princípios da Directiva 95/46/CE, de 32

P Recolha de informação passiva dados corporativos, 231-233 Recursos da Internet, 236 ISSAF sugestões, 237 requisitos, 238 fontes de terceiros, 221 Presença na web Alexa.org, 225 Archive.org, 225-227 Insecure.org, 226, 228 ISSAF metodologia, 222 Netcraft.com, 229-230 Nmap da lista, 228 Nmap ferramenta, 223-225 scanme.Nmap.org, 230-231 tipos de informação, 222-223 WHOIS e DNS enumeração, 233 ISSAF sugestões, 236 Nameserver consulta, 235 Nmap.org, 234 OS fingerprinting passiva Address Resolution Protocol (ARP), 274-275 OS Nmap Scan, 273 Revisões por pares, 415, 425-426 Perímetro digitalização evitar Scan ACK, 269-271 FIN e scans árvore de Natal, 271-272 Nmap scanner, 268 null scan ataque, 269 Perímetro da rede de identificação Cisco switch, 245 Elementos de rede do Google, 242, 245

ôwhoisö informações, 242-245 Sistemas de traceroute, 243-244 Permissões, hacking auditoria e monitoramento, 35 obrigações da empresa, 33-34 acordo de confidencialidade, 32-33 de gestão de conflitos, 35-36 obrigações contratante, 34-35 Pessoal laboratórios de penetração equipamentos, 102 configuração geral informações de configuração, 104 VMX Content File, 105 WebGoat diretório, 106 mantê-lo simples, 102 software, 103 vs corporativa laboratórios, 106 Ataques de phishing, 355 Física de auditoria de segurança, 173-174 Plan-Do-Check-Act ciclo de vida, 161-163 Escaneamento de portas objetivos, 260 perímetro digitalização evitar Scan ACK, 269-271 FIN e scans árvore de Natal, 271-272 Nmap scanner, 268 null scan ataque, 269 verificação alvo scans ativa, 261-264 scans passiva, 264 TCP digitalização, 265 TCP Connect scan, 267 TCP SYN scan stealth, 267 UDP digitalização, 264-265 Método pretexto, 355-356 Verificador da penetração profissional, 43, 45, 334 Gerenciamento de projetos fechamento estágio avaliação de esforço, 212 revisão do projeto formal, 212 identificação prioridade futuro do projeto, 213 nova identificação do projeto, 212-213 processo de execução, 209-211 sistema de ataque, 364-365 verificação de vulnerabilidade, 332 iniciar estágio, 206-208 banco de dados de conhecimento criação de, 468 gerenciamento de projetos, 469-470 sanitização dos resultados, 469 monitoramento e controle, 211 sistema de ataque, 365 verificação de vulnerabilidades, 333-334

Índice 501

fase de planejamento, 208-209 vs de engenharia, 165 Corpo do projeto de gestão do conhecimento (PMBOK), 186 grupo de encerramento do processo, 163 grupo de processos em execução, 161-162 grupo de processos iniciando, 155-157 monitoramento e controle de processo de grupo, 163-165 estrutura organizacional organização funcional, 202-203 matriz de organização, 203-205 projetizada organização, 205-206 grupo de processos de planejamento, 157-160 métodos de análise de risco análise da árvore de decisão, 190 análise do valor monetário esperado, 189 avaliação especializada, 187-188 modelagem e análise de simulação, 190-191 distribuição de probabilidade, 188 análise de sensibilidade, 188-189 papéis e responsabilidades Pentest engenheiros, 200-201 o gerente do projeto, 200 equipe campeã, 198-200 verificação de vulnerabilidade, 286 Project Management Institute (PMI), 63-64 Plano de gerenciamento, 158 Project Management Professional (PMP), 63-64 Gerente de projeto após a ação de revisão avaliações do projeto, 470-471 avaliações da equipe, 471 propostas de formação, 471-473 banco de dados de conhecimento criação de, 468 gerenciamento de projetos, 469-470 sanitização dos resultados, 469 de gestão de risco registo efetivo registro de riscos, 466 priorização de riscos e respostas, 467 entrada simples e típicos, 466-467 papéis e responsabilidades, 200 Membros da equipe de projeto estrutura organizacional organização funcional, 202-203 matriz de organização, 203-205 projetizada organização, 205-206 papéis e responsabilidades Pentest engenheiros, 200-201 o gerente do projeto, 200 equipe campeã, 198-200 ProxyTunnel, ferramenta de tunelamento, 386

pWnOS, 9 diretório, 131 laboratório de teste de penetração, 7 servidores, 128-129 configuração do sistema, 130

Q Análise de métricas qualitativas, 183-184 Análise de métricas quantitativas, 182-183

R Cenários do mundo real problemas de hacking, 120-121 vs turn-key cenários, 121-122 Web-based desafios, 145-146 Relatório relatório final autenticada de documento, 427 certificado digital, 428-429 documento resumo de configurações de segurança, 437 método de criptografia, 432-434 password, 428 revisões por pares, 425-426 envelope de segurança, 431-432 status de validação de assinatura, 430 descobertas, 411-412 relatório inicial verificação de fato, 415-416 revisões por pares, 415 vulnerabilidades e exploits, 414-415 preparação do manuscrito abstrata, 413 apêndices, 414 referências, 414 texto, 413 página de título, 413 de questões de escopo, 410-411 soluções, 412-413 Reverse shell definição, 372 configuração de rede, 373 Plano de gerenciamento de risco, 160-161 De gestão de risco registo efetivo registro de riscos, 466 priorização de riscos e respostas, 467 entrada simples e típicos, 466-467

S Protegendo documentação controles de acesso, 448 locais de arquivo, 449-450 métodos de arquivamento, 448-449 políticas de destruição, 450

502 Índice

Envelope de segurança opções de entrega, 432 solicitação de senha, 436 seleção de arquivos para a inclusão, 430 dados do remetente, 435 com carimbo de tempo, 431 Serviços de identificação banner agarrando, 276-277 enumerando serviços desconhecidos, 277-278 Concha Netcat reverter shell sistema de ataque aceitar conexão Netcat pedido, 378 servidor ataque de ligação, 377 usando Netcat, 376 Netcat shell aplicações de, 372 backdoor usando, 374-375 representação gráfica, 373 Hackerdemia LiveCD servidor, 374 reverse shell definição, 372 configuração de rede, 373 Competências e certificações específicas do fornecedor CheckPoint, 74-77 Certificações Cisco CCIE segurança, 67-70 CCNA de segurança, 66 CCSP, 66-67 Certificações GIAC, 67-74 A Juniper Networks, 77-78 Certificações Microsoft, 78-82 Certificações Sun Microsystems, 82-84 Snort, 114. Veja também Open Source software Socat, ferramenta de tunelamento, 386 Engenharia social, 170 ataque baiting, 355 ISSAF sugestões, 354 ataques de phishing, 355 método pretexting, 355-356 SQL injeções vantagens de, 327 NIST Special Publication 800-95, 326 SSCP. Ver Os sistemas de segurança Certified Médico SSH. Ver Open shell seguro Stakeholder gestão, 333-334 Stunnel, ferramenta de tunelamento, 387 Certificações Sun Microsystems, 82-84 Controle de supervisão e aquisição de dados (SCADA), 44, 209

Enumeração sistema vulnerabilidades internas explorar aviso, 344 os agentes locais, 343 exploits locais no CORE IMPACT, 342 remoto shell lançamento, 345 shell root em pWnOS, 346 shell em pWnOS, 341 dados sensíveis username e senha de informação, 348 Webmin explorar, 347 Identificação do sistema OS fingerprinting ativa, 272 OS fingerprinting passiva Address Resolution Protocol (ARP), 274-275 OS Nmap Scan, 273 Imagens do sistema imagens fantasma, 456-457 ferramenta de fantasmas, 457 questões de licenciamento, 455-456 máquinas virtuais, 456 Os sistemas de segurança Certified Practitioner (SSCP), 53

T Verificação alvo scans ativa, 261-264 scans passiva, 264 TCP digitalização, 265 TCP Connect scan, 267 TCP SYN scan stealth, 267 Testes de laboratórios laboratório corporativo equipamentos, 107-108 laboratórios internos e externos, 107 manutenção e sistemas de aplicação de patches, 106-107 software, 108 vs laboratórios de pessoal, 106 de proteção de dados criptografia, 108-110 móveis de segurança, 111 segurança de sistemas pentest, 110-111 sem fio de dados de laboratório, 112 hardware de rede firewall evasão, 113-114 IDS / IPS sistema, 114 routers, 113 laboratório de pessoal equipamentos, 102 gerais de configuração, 104-106 mantê-lo simples, 102

Índice 503

software, 103 vs corporativa laboratórios, 106 Turn-key cenários De-ICE LiveCDs Pentest configuração do laboratório, 128 1,100 cenário, 124-125 1,110 cenário, 125-126 2,100 cenário, 126-127 vulnerabilidades, 124 Foundstone segurança de rede, 131-132 Hackerdemia LiveCD Nmap Scan de, 127, 129 configuração do sistema, 130 turn-key cenário, 127-128 problemas de hacking, 120-121 pWnOS diretório, 131 servidores, 128-129 configuração do sistema, 130 usando alvos exploráveis aplicações, 137 sistemas operacionais, 136 vs cenários do mundo real, 121-122

U

atualização notificação, 310-311 workspace tela de conclusão de instalação, 315 explorar os códigos ferramentas automatizadas, 291-292 criação, 322-325 Sites Internet, 287-290 ISSAF metodologia, 285-286 Nessus scanner padrão opções de digitalização, 301 seleção de recursos, 293 plug-ins de opções, 296 registro de produtos prompt, 294 Registro de página e notificação de êxito, 295 scan sinopse resultado, 304 configuração do servidor, 297 seleção de servidor, 302 seleção de alvos, 300 Site Security Network sustentável da Web, 292 ameaça-Webmin, 302-303 espaço de trabalho, 299 gerenciamento de projetos execução de estágio, 332 monitoramento e controle, 333-334

W

UDP digitalização, 264-265 United States Department of Justice (USDOJ) cibercrime, 444-445

Aplicação vulnerabilidades Web ferramentas automatizadas, 332 exploits, 330-331 vulnerabilidades, 331 Ataques na web. Ver Hacking Web WebGoat, 9 V Apache Web server, 133-134 Máquinas virtuais, 139 Vulnerabilidade ferramenta de avaliação. Ver Nessus scanner lote aviso de segurança de arquivos, 133 diretório, 132 Vulnerabilidade ferramenta de exploração. Ver CORE Open Web Application Security Project IMPACTO (OWASP), 326 Vulnerabilidade de identificação, Webmin laboratório de teste de penetração, 7 banco de dados de busca, 279-280 cenários, 134-135 avaliação de risco, 280 Start Page, 135 Bem-vindo página, 279 configuração do sistema, 133 Verificação de vulnerabilidade Hacking Web áreas de controle, 286 cross-site scripting, 327-330 CORE IMPACT SQL injection, 326-327 BackTrack servidor, 319-320 Webmin criptografar espaço de trabalho, 314 exploits instalação, 305-307 controle de privacidade, 290 seleção de licença, 313 resultados da pesquisa, 289 configuração de rede, 316-317 versões, 288 rede agendamento teste de vulnerabilidade, 308 vulnerabilidade de identificação novo espaço de trabalho, 312 banco de dados de busca, 279-280 OpenSSL mensagem de erro explorar, 319 avaliação de risco, 280 rápida pentest, 317 Bem-vindo página, 279 tela de abertura e de primeira página, 309 informações sobre o alvo, 318

504 Índice

White Hat hackers vantagens, 17-18 definição, 17 perspectivas financeiras, 18 Wi-Fi Protected Access (WPA) ataque Aircrack-ng programa, 360-362 airodump-ng ferramenta, 359-360 ATH1 em modo monitor, 358 nível de criptografia, 357

Wired Equivalent Privacy (WEP) ataque vantagens, 364 Aircrack-ng programa, 363 airodump-ng ferramenta, 362-363 Ataques sem fio configuração de rede, 356-357 WEP ataque, 362-364 WPA ataque, 357-362 Estrutura de trabalho (WBS), 158

Profissional Teste de Invasão

Recommend Documents