terça-feira, março 23, 2010

Segurança de Informação I


- inicialmente devemos buscar sempre o anonimato e a competencia profissional , que um security officer necessita, principios basicos que um pentester deve ter para conseguir um " lugar ao ROOT" :P
  • Confidencialidade - propriedade que limita o acesso a informação tão-somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
  • Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação.
  • Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo.
  • Autenticidade –Garantia da origemda informação.
  • Legalidade – Importante estarmos atentos as leis de cada país.
C.I.D.A.L.

- Vamos a algumas terminologias que são muito utilizadas na area de segurança da informação, no caso aqui iremos apresenta somente algumas para esclarecimento do corpo do nosso artigo.

  • Vulnerabilidade – fragilidade que pode fornecer uma porta de entrada a um atacante.
  • Ameaça – agente ou ação que se aproveita de uma vulnerabilidade.
  • Risco – (Impacto X Probabilidade) da ameaça ocorrer.
  • Ataque – Incidência da ameaça sobre a vulnerabilidade.
  • Exploit – Programa capaz de explorar uma vulnerabilidade.
Mecanismos de Segurança

Controles Físicos
* Portas
* Trancas
* Paredes
* Blindagem
* Guardas
* Cameras

Controles logicos

* Criptografia
* Firewall
* Anti-Vírus
* IDS
* IPS
* ADS
* Anti-Spam
* Fuzzers

Os serviços de segurança por sua vez são realizadas da seguinte forma:

* Criação de Políticas de Segurança.
* Hardening de Servidores.
* Análise de Vulnerabilidade.
* Teste de Intrusão.
* Análise de Aplicação.
* Perícia Computacional.
* Treinamento de Colaboradores.

Apesar de tudo, ainda temos incidentes de segurança Bugs em softwares; Bugs em softwares;
Empregados insatisfeitos;Administradores de sistemas sobrecarregados;Acomodação de necessidades empresariais; Falta de educação em segurança .incrivel não? ja com uma " breve" introdução sobre segurança mas vamos ao que enteressa , nosso assunto é Pentest :)

O Teste de Intrusão é um processo de análise detalhada do nível de segurança de um sistema ou rede usando a perspectiva de um infrator.O objetivo principal é simular de forma controlada um ataque real que normalmente é executado por criminosos.

Open Source Security testing methodology manual (OSSTMM)

  • O teste dever ser conduzido exaustivamente.
  • O teste deve contemplar todos os itens necessários.
  • O escopo do teste não deve ferir os direitos humanos básicos.
  • Os resultados devem ser quantificáveis.
  • Os resultados devem ser consistentes.
  • Os resultados devem conter apenas o que foi obtido com os testes.
OSSTMM
Os resultados devemconter:
  • Data e hora dos testes.
  • Tempo de duração dos testes.
  • Analistas e pessoas envolvidas.
  • Tipo do teste.
  • Escopo do teste.
  • O resultado da enumeração.
  • Margens de erro.
  • Qualificação do risco.
  • Qualquer tipo de erro ou anomalia desconhecida.
Mas o que e uma intrusão? É uma anomalia ou alguma coisa que passou as proteções e impactou de alguma forma o negócio da empresa (Lembre-se C.I.D.A.L.) Alguma coisa que pode ser realmente inovadora, 0day :P
mas conhecida pelos haxor's e hackers afins.. principalmente pelos defacer's que procuram essas "falhas" para deixa seus protestos . whatever como diria jovem NERD ...

O que é vulnerability research ?
Por que os hackers precisamdisso?

0-day!
Nova técnica X Novo exploit
Bug que não foi corrigido e não é público Pesquisado principalmente por hackers e governo, motivados pela fama e dinheiro Empresas vendeme compram0days: Gleg / iDefense. um exemplo disso estão os websites citados abaixo:

http://www.zerodayinitiative.com/
http://research.eeye.com/html/advisories/upoming/index.html
http://labs.idefense.com/intelligence/vulnerabilities/
http://www.gleg.net/products.shtml


Pentester
afinal o que diferencia um hacker de um pestester ? São duas as principais diferenças, considerando pessoas de mesmo nível técnico: Prazo Prazo e Escopo.
proximo post iremos falar sobre as fases de um ataque e os tipos de pentest, vamos começando para o teorico para que os que são novos começem a se habituar com as linguagens e a dinâmica do nossa profissão.

Minha fonte de estudo como sempre e o google, e alguns profissionais que me espelho muito para alcançar meus objetivos, dentre eles altieri , bluehat , mairton SEJUSP, e outros que ao decorrer da minha vida vou agradecendo por aqui!

let's hack!



0 comentários:

Postar um comentário