“A Importância do Teste de Intrusão
(PenTest) na validação do perímetro”
Teste de Intrusão – PenTest, quebra de
paradigma para gestores de segurança nas
empresas.
PCI DSS (Payment Card Industry Data Security Standard)
Padrão mundial de segurança da informação para estabelecimentos
que utilizam cartões como forma de pagamento.
PCI DSS (Payment Card Industry Data Security Standard)
As diretrizes foram desenvolvidas, em conjunto, pelas operadoras de
cartões de crédito e débito, incluindo as bandeiras Visa, Mastercard e
American Express
MAC FISH
PCI DSS (Payment Card Industry Data Security Standard)
Exigência 11: Teste regularmente os sistemas e os processos de segurança.
As vulnerabilidades são continuamente descobertas ou introduzidas por
novos softwares. Os sistemas, processos e softwares devem ser testados
freqüentemente para certificar-se de que a segurança está sendo mantida ao
longo do tempo e através das mudanças.
11.3 Execute um teste de penetração na infraestrutura da rede e
aplicativos pelo menos uma vez por ano e após qualquer modificação
ou upgrade significativo da infraestrutura ou aplicativo
Tiger Team?
O termo (Tiger Team) originou-se com as forças armadas (uso
Militar) para descrever uma equipe cuja a finalidade fosse penetrar
a segurança (penetration test) de instalações militares ou afins.
Um Tiger Team é um grupo de pessoas especializadas em
segurança e insegurança da informação, cujo trabalho é testar a
eficácia da segurança de uma organização em proteger recursos e
informações sensíveis.
Os membros de uma Tiger Team são profissionais que acessam
recursos não autorizados em uma corporação e deixam evidências
de seu sucesso.
MAC CHICKEN
Guerra fria depois Cyber Espaço
Mais tarde, o termo tornou-se popular na indústria de
computadores, onde a segurança da informação é testada
frequentemente por Tiger Team.
Os membros de Tiger Team são hackers profissionais, testando a
segurança de instalações militares e corporações.
No campo de segurança da informação, o termo é obsoleto, e o
termo mais comuns é Penetration Testers (Analistas de Teste de
Intrusão).
BIG MAC
Como formar um Tiger Team?
Tiger Team não são cenas de hacking (ou sejá não são grupos de
hackers trocando informação e conhecimento)
Tiger Team são formados geralmente por um gestor com foco
técnico em intrussão que convida ou faz uma seleção de Hackers
com conhecimentos avançados.
O objetivo de um Tiger Team é prestar serviços professionais de
testes de intrusão ou validação de perimetro.
Os Tiger Team juntam Hackers com conhecimentos avançados
em diversas áreas do conhecimento.
MAC BURGUER
Como avaliar a capacidade técnica de uma equipe de
PenTest?
Security Advisories
São avisos emitidos quando uma vulnerabilidade de segurança que
afeta um programa ou serviço é descoberta
Cronograma ADVISORY/0106 - D-Link Wireless Access-Point (DWL-2100ap)
11/02/2006 - Falha descoberta durante um Pen-Test.
15/02/2006 - D-Link Internacional contatado.
17/02/2006 - Sem resposta.
18/02/2006 - D-Link Internacional contatado novamente.
24/02/2006 - Sem resposta.
25/02/2006 - Última tentativa de contato com a D-Link Internacional.
29/02/2006 - Sem resposta.
29/02/2006 - D-Link do Brasil Contatado.
02/03/2006 - Sem resposta.
03/03/2006 - D-Link do Brasil contatado novamente.
06/03/2006 - Resposta da D-Link Brasil.
09/03/2006 - Patch criado.
14/03/2006 - Patch adicionado ao site da D-Link Brasil.
06/06/2006 - Advisory publicado.
MAC CHEDDAR
Citrix Metaframe Priv. Escalation.
------------- Mensagem Original -------------Data: Quinta-feira, 19 de Julho de 2007 14:05De:
Security - Wendel Guglielmetti < [email protected] >Para: [email protected],
[email protected]: [email protected]: Citrix Metaframe Priv. Escalation.
Dear Citrix security staff,
We are attaching a advisory of a flaw in Citrix Metaframe that we had discovered some years ago,
we are contacting you before release, thinking in a responsible disclosure.
The flaw is extremely easy to understand and exploit, anyway if you need any additional
information feel free to contact us.
Regards,
Wendel Guglielmetti Henrique
Analista de Pen-Test
Security | Intruders Tiger Team Security Division
http://www.security.org.br
http://www.intruders.com.br
As informações existentes nessa mensagem e nos arquivos anexados são para uso restrito, sendo seu sigilo protegido por lei. Caso não seja
destinatário, saiba que leitura, divulgação ou cópia são proibidas. Favor apagar as informações e notificar o remetente. O uso impróprio
será tratado conforme as normas da empresa e a legislação em vigor.
The information contained in this message and in the attached files are restricted, and its confidentiality protected by law. In case you are
not the addressee, be aware that the reading, spreading and copy of this message is unauthorized. Please, delete this message and notify the
sender. The improper use of this information will be treated according the company's internal rules and legal laws.
MAC MAX
Segunda Notificação
From: Security - Wendel Guglielmetti
Sent: 24 July 2007 16:49
To: [email protected]
Subject: Second Notification:Citrix Metaframe Priv. Escalation.
Importance: High
Dear,
Second notification try.
Regards,
Wendel Guglielmetti Henrique
Analista de Pen-Test
Security OpenSource | Intruders Tiger Team Security Division
http://www.security.org.br
http://www.intruders.com.br
MAC SALAD
Resposta a Segunda Notificação
------------- Mensagem Original -------------Data: Terça-feira, 24 de Julho de 2007 13:20De:
[email protected] < [email protected] >Para: Security - Wendel Guglielmetti <
[email protected] >, [email protected] < [email protected] >Assunto: RE:
Second Notification:Citrix Metaframe Priv. Escalation.
Wendel,Thank you for contacting us and bringing this to our attention. We are currently
investigating the possible flaw and, when we have completed this, will get back to you.In the
meantime, could you please confirm some environment details for us:What operating system
was installed on the systems?What patch levels were the operating systems at?What
patch/hotfix level were the Citrix components at?Please do not hesitate to contact us again if
you have any questions relating to this issue.Regards,
Security Response TeamCitrix Systems,
MAC POTATOES
Assunto:Re:RE: RE: Last Notification:Citrix Metaframe Priv. Escalation. De:Security - Wendel
Guglielmetti <[email protected]> Adicionar contato Enviada em:Domingo, 16 de Setembro de 2007
18:17Para:[email protected], [email protected] Cc:[email protected]
Dear Citrix security staff,
How is going the progress of this vulnerability?
We do not have news from you in the last 2 weeks.
Thank you,
Regards,
Wendel Guglielmetti Henrique
Analista de Pen-Test
Security OpenSource | Intruders Tiger Team Security Division
http://www.security.org.br
http://www.intruders.com.br
------------- Mensagem Original -------------Data: Sexta-feira, 17 de Agosto de 2007 09:37De: [email protected]
< [email protected] >Para: Security - Wendel Guglielmetti < [email protected] >,
[email protected] < [email protected] >, [email protected]: [email protected] <
[email protected] >, [email protected], [email protected]: RE: RE: Last
Notification:Citrix Metaframe Priv. Escalation.
MAC BACON
Wendel, We currently do not have an accurate estimate of how long it will take to roll out the public
response. As soon as we have one, we will make sure that you are informed so that we can both release our
bulletins at the same time.Our aim is to keep you informed about the progress of this issue on a weekly basis. If
you would prefer a different schedule, could you please let us know.Regards,
Security Response TeamCitrix Systems
Ferramentas de análises de vulnerabilidades
VS Teste de Intrusão (PenTest)
Que fique claro que são duas coisas
completamente diferentes...
Analise de vulnerabilidades apenas reportam uma possível falha
ou risco... Um PenTest explora vetores de ataques.
Analise de vulnerabilidades não são conclusivas........o sistema
pode ou não estar vulnerável... Um PenTest feito por um bom
pen-tester é conclusivo.
MAC DUPLO
Acordo de confidencialidade (multas)
CLÁUSULA OITAVA - DA MULTA
8.1
Sem prejuízo das demais medidas legais que possam
ser tomadas, fica desde já estabelecido que o descumprimento
do disposto neste ACORDO, bem como eventuais danos
causados à REVELADORA ou às próprias
INFORMAÇÕES CONFIDENCIAIS ou a quaisquer meios
que as suportem ou pelo qual trafeguem, implicará na
obrigação da PARTE RECEPTORA de pagar à
REVELADORA multa convencional, cumulativa e não
compensatória, no valor de R$ 100.000,00 (CEM MIL
REAIS), a ser atualizada monetariamente pelo IPC/FGV, bem
como indenização por perdas e danos que vier a ser apurada
em processo próprio.
FULL MAC
Parceria tecnológica
Troca de conhecimento, os Tiger Team estão sempre muito a
frente das empresas que integram segurança ou apenas
desenvolvem produtos de segurança.
Hackers To Hackers Conference - Fourth Edition
"Alexander Kornbrust"
Palestra: "Hacking well-protected databases (with patches,
auditing, ...)".
Durante os últimos 6 anos, ele encontrou mais de 220 falhas de
segurança em diversos produtos da “Oracle”.
Glaudson Ocampos a.k.a Nash Leon
Wendel Guglielmetti Henrique a.k.a Dum_Dum
Ygor da Rocha Parreira a.k.a Dmr
Waldemar Nehgme a.k.a MasterMinder
[email protected]
Download

Palestra - Semitec - A Importância do Teste de Intrusão