“A Importância do Teste de Intrusão (PenTest) na validação do perímetro” Teste de Intrusão – PenTest, quebra de paradigma para gestores de segurança nas empresas. PCI DSS (Payment Card Industry Data Security Standard) Padrão mundial de segurança da informação para estabelecimentos que utilizam cartões como forma de pagamento. PCI DSS (Payment Card Industry Data Security Standard) As diretrizes foram desenvolvidas, em conjunto, pelas operadoras de cartões de crédito e débito, incluindo as bandeiras Visa, Mastercard e American Express MAC FISH PCI DSS (Payment Card Industry Data Security Standard) Exigência 11: Teste regularmente os sistemas e os processos de segurança. As vulnerabilidades são continuamente descobertas ou introduzidas por novos softwares. Os sistemas, processos e softwares devem ser testados freqüentemente para certificar-se de que a segurança está sendo mantida ao longo do tempo e através das mudanças. 11.3 Execute um teste de penetração na infraestrutura da rede e aplicativos pelo menos uma vez por ano e após qualquer modificação ou upgrade significativo da infraestrutura ou aplicativo Tiger Team? O termo (Tiger Team) originou-se com as forças armadas (uso Militar) para descrever uma equipe cuja a finalidade fosse penetrar a segurança (penetration test) de instalações militares ou afins. Um Tiger Team é um grupo de pessoas especializadas em segurança e insegurança da informação, cujo trabalho é testar a eficácia da segurança de uma organização em proteger recursos e informações sensíveis. Os membros de uma Tiger Team são profissionais que acessam recursos não autorizados em uma corporação e deixam evidências de seu sucesso. MAC CHICKEN Guerra fria depois Cyber Espaço Mais tarde, o termo tornou-se popular na indústria de computadores, onde a segurança da informação é testada frequentemente por Tiger Team. Os membros de Tiger Team são hackers profissionais, testando a segurança de instalações militares e corporações. No campo de segurança da informação, o termo é obsoleto, e o termo mais comuns é Penetration Testers (Analistas de Teste de Intrusão). BIG MAC Como formar um Tiger Team? Tiger Team não são cenas de hacking (ou sejá não são grupos de hackers trocando informação e conhecimento) Tiger Team são formados geralmente por um gestor com foco técnico em intrussão que convida ou faz uma seleção de Hackers com conhecimentos avançados. O objetivo de um Tiger Team é prestar serviços professionais de testes de intrusão ou validação de perimetro. Os Tiger Team juntam Hackers com conhecimentos avançados em diversas áreas do conhecimento. MAC BURGUER Como avaliar a capacidade técnica de uma equipe de PenTest? Security Advisories São avisos emitidos quando uma vulnerabilidade de segurança que afeta um programa ou serviço é descoberta Cronograma ADVISORY/0106 - D-Link Wireless Access-Point (DWL-2100ap) 11/02/2006 - Falha descoberta durante um Pen-Test. 15/02/2006 - D-Link Internacional contatado. 17/02/2006 - Sem resposta. 18/02/2006 - D-Link Internacional contatado novamente. 24/02/2006 - Sem resposta. 25/02/2006 - Última tentativa de contato com a D-Link Internacional. 29/02/2006 - Sem resposta. 29/02/2006 - D-Link do Brasil Contatado. 02/03/2006 - Sem resposta. 03/03/2006 - D-Link do Brasil contatado novamente. 06/03/2006 - Resposta da D-Link Brasil. 09/03/2006 - Patch criado. 14/03/2006 - Patch adicionado ao site da D-Link Brasil. 06/06/2006 - Advisory publicado. MAC CHEDDAR Citrix Metaframe Priv. Escalation. ------------- Mensagem Original -------------Data: Quinta-feira, 19 de Julho de 2007 14:05De: Security - Wendel Guglielmetti < [email protected] >Para: [email protected], [email protected]: [email protected]: Citrix Metaframe Priv. Escalation. Dear Citrix security staff, We are attaching a advisory of a flaw in Citrix Metaframe that we had discovered some years ago, we are contacting you before release, thinking in a responsible disclosure. The flaw is extremely easy to understand and exploit, anyway if you need any additional information feel free to contact us. Regards, Wendel Guglielmetti Henrique Analista de Pen-Test Security | Intruders Tiger Team Security Division http://www.security.org.br http://www.intruders.com.br As informações existentes nessa mensagem e nos arquivos anexados são para uso restrito, sendo seu sigilo protegido por lei. Caso não seja destinatário, saiba que leitura, divulgação ou cópia são proibidas. Favor apagar as informações e notificar o remetente. O uso impróprio será tratado conforme as normas da empresa e a legislação em vigor. The information contained in this message and in the attached files are restricted, and its confidentiality protected by law. In case you are not the addressee, be aware that the reading, spreading and copy of this message is unauthorized. Please, delete this message and notify the sender. The improper use of this information will be treated according the company's internal rules and legal laws. MAC MAX Segunda Notificação From: Security - Wendel Guglielmetti Sent: 24 July 2007 16:49 To: [email protected] Subject: Second Notification:Citrix Metaframe Priv. Escalation. Importance: High Dear, Second notification try. Regards, Wendel Guglielmetti Henrique Analista de Pen-Test Security OpenSource | Intruders Tiger Team Security Division http://www.security.org.br http://www.intruders.com.br MAC SALAD Resposta a Segunda Notificação ------------- Mensagem Original -------------Data: Terça-feira, 24 de Julho de 2007 13:20De: [email protected] < [email protected] >Para: Security - Wendel Guglielmetti < [email protected] >, [email protected] < [email protected] >Assunto: RE: Second Notification:Citrix Metaframe Priv. Escalation. Wendel,Thank you for contacting us and bringing this to our attention. We are currently investigating the possible flaw and, when we have completed this, will get back to you.In the meantime, could you please confirm some environment details for us:What operating system was installed on the systems?What patch levels were the operating systems at?What patch/hotfix level were the Citrix components at?Please do not hesitate to contact us again if you have any questions relating to this issue.Regards, Security Response TeamCitrix Systems, MAC POTATOES Assunto:Re:RE: RE: Last Notification:Citrix Metaframe Priv. Escalation. De:Security - Wendel Guglielmetti <[email protected]> Adicionar contato Enviada em:Domingo, 16 de Setembro de 2007 18:17Para:[email protected], [email protected] Cc:[email protected] Dear Citrix security staff, How is going the progress of this vulnerability? We do not have news from you in the last 2 weeks. Thank you, Regards, Wendel Guglielmetti Henrique Analista de Pen-Test Security OpenSource | Intruders Tiger Team Security Division http://www.security.org.br http://www.intruders.com.br ------------- Mensagem Original -------------Data: Sexta-feira, 17 de Agosto de 2007 09:37De: [email protected] < [email protected] >Para: Security - Wendel Guglielmetti < [email protected] >, [email protected] < [email protected] >, [email protected]: [email protected] < [email protected] >, [email protected], [email protected]: RE: RE: Last Notification:Citrix Metaframe Priv. Escalation. MAC BACON Wendel, We currently do not have an accurate estimate of how long it will take to roll out the public response. As soon as we have one, we will make sure that you are informed so that we can both release our bulletins at the same time.Our aim is to keep you informed about the progress of this issue on a weekly basis. If you would prefer a different schedule, could you please let us know.Regards, Security Response TeamCitrix Systems Ferramentas de análises de vulnerabilidades VS Teste de Intrusão (PenTest) Que fique claro que são duas coisas completamente diferentes... Analise de vulnerabilidades apenas reportam uma possível falha ou risco... Um PenTest explora vetores de ataques. Analise de vulnerabilidades não são conclusivas........o sistema pode ou não estar vulnerável... Um PenTest feito por um bom pen-tester é conclusivo. MAC DUPLO Acordo de confidencialidade (multas) CLÁUSULA OITAVA - DA MULTA 8.1 Sem prejuízo das demais medidas legais que possam ser tomadas, fica desde já estabelecido que o descumprimento do disposto neste ACORDO, bem como eventuais danos causados à REVELADORA ou às próprias INFORMAÇÕES CONFIDENCIAIS ou a quaisquer meios que as suportem ou pelo qual trafeguem, implicará na obrigação da PARTE RECEPTORA de pagar à REVELADORA multa convencional, cumulativa e não compensatória, no valor de R$ 100.000,00 (CEM MIL REAIS), a ser atualizada monetariamente pelo IPC/FGV, bem como indenização por perdas e danos que vier a ser apurada em processo próprio. FULL MAC Parceria tecnológica Troca de conhecimento, os Tiger Team estão sempre muito a frente das empresas que integram segurança ou apenas desenvolvem produtos de segurança. Hackers To Hackers Conference - Fourth Edition "Alexander Kornbrust" Palestra: "Hacking well-protected databases (with patches, auditing, ...)". Durante os últimos 6 anos, ele encontrou mais de 220 falhas de segurança em diversos produtos da “Oracle”. Glaudson Ocampos a.k.a Nash Leon Wendel Guglielmetti Henrique a.k.a Dum_Dum Ygor da Rocha Parreira a.k.a Dmr Waldemar Nehgme a.k.a MasterMinder [email protected]