Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Anatomia de um Ataque

Anatomia de um Ataque

Palestra apresentada no Darkmira Tour PHP 2017 https://php.darkmiratour.rocks/2017/

Diariamente milhares de incidentes de segurança são registrados no mundo, agora mesmo o seu site pode estar sofrendo um ataque. Pode não ser uma ação para tira-lo do ar, mas pode ser apenas o roubo de informações ou a escravização do servidor para uma botnet. Raramente um atacante utiliza apenas uma técnica em suas ações. Esta palestra vai tratar de casos reais de ataques a aplicações WEB, as técnicas utilizadas, como foi feita a recuperação do desastre e possíveis maneiras de eliminar futuros incidentes. Vamos tratar não só da aplicação, mas de todos os pontos vulneráveis em nosso ambiente. Com o conhecimento adquirido, seremos capazes de construir aplicações mais seguras, e escolher melhor os requisitos mínimos de ambiente necessários.

Cd0c263b28fce0e1d89a0002cc75648b?s=128

raphaeldealmeida

May 27, 2017
Tweet

Transcript

  1. Anatomia de um Ataque

  2. Raphael Almeida

  3. Desenvolvedor sempre quer criar a aplicação mais incrível do universo

  4. Existem vários desafios, arquitetura, banco de dados etc

  5. A aplicação vai para o ar e ...

  6. Vários acessos, sucesso e a grana entrando

  7. Até que as coisas começam a ficar estranhas

  8. No caso de um e-commerce, a receita não equivale aos

    produtos vendidos
  9. Pico de acessos sem o respectivo resultado

  10. Nessa hora temos o pensamento mais óbvio. Ok. Isso é

    um bug, vamos corrigi-lo
  11. Depois de um tempo caçando bugs e deixando a aplicação

    mais robusta os casos ainda acontecem
  12. E surge uma luz.

  13. “Posso estar sendo atacado”

  14. Mais porque o meu sitezinho?

  15. Um servidor é um ativo

  16. pode ser utilizado para conseguir dados restritos como contas de

    banco, e-mails, senhas e telefones válidos
  17. Ou como escravo para potencializar outros ataques

  18. Sim aqui estou falando do seu roteador lindão que tem

    em casa e não mudou a senha padrão
  19. Nessa hora você pode correr para saber mais sobre segurança.

  20. Acaba esbarrando em muito conteúdo. E as vezes fica frustrado

    porque tem pouca coisa para a sua tecnologia
  21. Security Check list

  22. OWASP Open Web Application Security Project www.owasp.org

  23. OWASP Top 10

  24. None
  25. Mesmo que eu me proteja dessas ameaças o atacante vai

    continuar evoluindo, mudando o padrão.
  26. Não quero ter uma atitude reativa. Preciso saber se minha

    aplicação tem alguma falha antes dos outros.
  27. Pentest Penetration Test

  28. PTES Penetration Testing Execution Standard pentest-standard.org

  29. Aviso A realização de um pentest sem autorização é considerado

    um ataque
  30. Preparação Especifica o escopo dos servidores e tempo

  31. Coleta de informações Quanto mais informação for adquirida mais vetores

    de ataque estarão disponíveis nas fases posteriores
  32. servidores, links, IPs, emails, tecnologia e versão, DNS, robots.txt

  33. None
  34. http://tools.kali.org/web-applications/dirb

  35. https://cirt.net/Nikto2

  36. https://www.kali.org/

  37. Modelagem da Ameaça Identificando ativos (banco de dados, boa conexão,

    servidor smtp)
  38. Análise de Vulnerabilidade Procuramos vulnerabilidades conhecidas nas informações

  39. http://sqlmap.org/

  40. exploit-db.com

  41. Exploração Estabelecer acesso ao sistema ou recurso burlando restrições de

    segurança
  42. Pós-Exploração Determinar o valor da servidor comprometido e manter para

    uso posterior. Esconder remote console. Criar usuário admin
  43. None
  44. Relatórios Elencar as vulnerabilidades classificadas por risco e propor soluções

    para as falhas
  45. Seja o primeiro a conhecer as vulnerabilidades da sua aplicação

  46. Acompanhe os logs

  47. https://www.graylog.org/

  48. https://papertrailapp.com/

  49. Referências Teste de Invasão de aplicações Web - RNP pt.scribd.com/doc/73586437/Teste-de-Invasao-de-Aplicacoes-Web

  50. OBRIGADO @raph_almeida