Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Anatomia de um Ataque

Anatomia de um Ataque

Palestra apresentada no Darkmira Tour PHP 2017 https://php.darkmiratour.rocks/2017/

Diariamente milhares de incidentes de segurança são registrados no mundo, agora mesmo o seu site pode estar sofrendo um ataque. Pode não ser uma ação para tira-lo do ar, mas pode ser apenas o roubo de informações ou a escravização do servidor para uma botnet. Raramente um atacante utiliza apenas uma técnica em suas ações. Esta palestra vai tratar de casos reais de ataques a aplicações WEB, as técnicas utilizadas, como foi feita a recuperação do desastre e possíveis maneiras de eliminar futuros incidentes. Vamos tratar não só da aplicação, mas de todos os pontos vulneráveis em nosso ambiente. Com o conhecimento adquirido, seremos capazes de construir aplicações mais seguras, e escolher melhor os requisitos mínimos de ambiente necessários.

raphaeldealmeida

May 27, 2017
Tweet

More Decks by raphaeldealmeida

Other Decks in Technology

Transcript

  1. Anatomia de
    um Ataque

    View full-size slide

  2. Raphael
    Almeida

    View full-size slide

  3. Desenvolvedor sempre
    quer criar a aplicação
    mais incrível do universo

    View full-size slide

  4. Existem vários desafios,
    arquitetura, banco de
    dados etc

    View full-size slide

  5. A aplicação vai para o ar
    e ...

    View full-size slide

  6. Vários acessos, sucesso
    e a grana entrando

    View full-size slide

  7. Até que as
    coisas começam
    a ficar estranhas

    View full-size slide

  8. No caso de um
    e-commerce, a receita
    não equivale aos
    produtos vendidos

    View full-size slide

  9. Pico de acessos sem o
    respectivo resultado

    View full-size slide

  10. Nessa hora temos o
    pensamento mais óbvio.
    Ok. Isso é um bug,
    vamos corrigi-lo

    View full-size slide

  11. Depois de um tempo
    caçando bugs e
    deixando a aplicação
    mais robusta os casos
    ainda acontecem

    View full-size slide

  12. E surge uma luz.

    View full-size slide

  13. “Posso estar sendo
    atacado”

    View full-size slide

  14. Mais porque o meu
    sitezinho?

    View full-size slide

  15. Um servidor é um ativo

    View full-size slide

  16. pode ser utilizado para
    conseguir dados
    restritos como contas de
    banco, e-mails, senhas e
    telefones válidos

    View full-size slide

  17. Ou como escravo para
    potencializar outros
    ataques

    View full-size slide

  18. Sim aqui estou falando
    do seu roteador lindão
    que tem em casa e não
    mudou a senha padrão

    View full-size slide

  19. Nessa hora você pode
    correr para saber mais
    sobre segurança.

    View full-size slide

  20. Acaba esbarrando em
    muito conteúdo. E as
    vezes fica frustrado
    porque tem pouca coisa
    para a sua tecnologia

    View full-size slide

  21. Security Check list

    View full-size slide

  22. OWASP
    Open Web Application Security Project
    www.owasp.org

    View full-size slide

  23. OWASP Top 10

    View full-size slide

  24. Mesmo que eu me
    proteja dessas ameaças
    o atacante vai continuar
    evoluindo, mudando o
    padrão.

    View full-size slide

  25. Não quero ter uma
    atitude reativa. Preciso
    saber se minha
    aplicação tem alguma
    falha antes dos outros.

    View full-size slide

  26. Pentest
    Penetration Test

    View full-size slide

  27. PTES
    Penetration Testing Execution Standard
    pentest-standard.org

    View full-size slide

  28. Aviso
    A realização de um pentest sem
    autorização é considerado um ataque

    View full-size slide

  29. Preparação
    Especifica o escopo dos servidores e
    tempo

    View full-size slide

  30. Coleta de informações
    Quanto mais informação for adquirida
    mais vetores de ataque estarão
    disponíveis nas fases posteriores

    View full-size slide

  31. servidores, links, IPs,
    emails, tecnologia e
    versão, DNS, robots.txt

    View full-size slide

  32. http://tools.kali.org/web-applications/dirb

    View full-size slide

  33. https://cirt.net/Nikto2

    View full-size slide

  34. https://www.kali.org/

    View full-size slide

  35. Modelagem da Ameaça
    Identificando ativos (banco de dados,
    boa conexão, servidor smtp)

    View full-size slide

  36. Análise de
    Vulnerabilidade
    Procuramos vulnerabilidades conhecidas
    nas informações

    View full-size slide

  37. http://sqlmap.org/

    View full-size slide

  38. exploit-db.com

    View full-size slide

  39. Exploração
    Estabelecer acesso ao sistema ou
    recurso burlando restrições de
    segurança

    View full-size slide

  40. Pós-Exploração
    Determinar o valor da servidor
    comprometido e manter para uso
    posterior. Esconder remote console.
    Criar usuário admin

    View full-size slide

  41. Relatórios
    Elencar as vulnerabilidades classificadas
    por risco e propor soluções para as
    falhas

    View full-size slide

  42. Seja o primeiro a
    conhecer as
    vulnerabilidades da sua
    aplicação

    View full-size slide

  43. Acompanhe os logs

    View full-size slide

  44. https://www.graylog.org/

    View full-size slide

  45. https://papertrailapp.com/

    View full-size slide

  46. Referências
    Teste de Invasão de
    aplicações Web -
    RNP
    pt.scribd.com/doc/73586437/Teste-de-Invasao-de-Aplicacoes-Web

    View full-size slide

  47. OBRIGADO
    @raph_almeida

    View full-size slide