Teste de invasão: Preparação

O teste de invasão, como discutimos no post Teste de invasão – Introdução, é realizado para identificar vulnerabilidades através de diversas técnicas e explorá-las com o objetivo de ganhar acessos não autorizados simulando o que atacantes fariam. Porém, esse tipo de teste pode impactar negativamente, causando, indisponibilidades e, dependendo do negócio, até prejuízos. Por isso, é importante que todo teste de invasão seja autorizado e acompanhado. 

Neste post, vamos falar exatamente sobre a fase de Preparação, que trata desse alinhamento entre o solicitante do teste e quem efetivamente vai realizá-lo. Confira!

Na fase de Preparação, o objetivo é conhecer tanto sobre a área de atuação da empresa quanto sobre a finalidade do teste de invasão. Portanto, após compreender sobre a organização, é necessário identificar o tipo de teste que será realizado:

  • Black box: Neste caso, o teste será realizado sem nenhum conhecimento inicial sobre o alvo;
  • Gray box: Já neste caso, o teste será realizado com conhecimento parcial sobre o alvo. Este tipo de teste geralmente é realizado quando deseja-se conhecer o que uma área consegue acessar de outra área da organização — por exemplo, se pessoas de Marketing têm algum tipo de acesso aos documentos do financeiro;
  • White box: Neste último caso, o teste será realizado com total conhecimento do alvo. Este tipo geralmente é realizado para ter conhecimento sobre o que uma pessoa que possui conhecimento sobre a infraestrutura, como um adiministrador de rede, poderia fazer caso quisesse utilizar as informações da organização, ou mesmo prejudicá-la de alguma forma.

É importante ter em mente que essa fase existe para alinhar expectativas e compartilhar riscos, além de minimizar qualquer tipo de problema de comunicação. Para tanto, é necessário definir e responder algumas questões:

1. Janela de testes: Em quais dias e horários os testes poderão ser executados?

2. Informações de Contato: Caso algo inesperado ocorra, quem deverá ser acionado?

3. Cartão para “sair da prisão livremente”: Quem está autorizado a realizar este teste?

Durante a execução dos testes, dependendo da vulnerabilidade encontrada, pode-se tanto gerar uma indisponibilidade do sistema quanto expor informações sensíveis. Por isso, nesta etapa, também já pode ser alinhado até onde os testes serão realizados, visto que o que não estiver alinhado pode ser considerado crime com base na lei:

LEI Nº 12.737 – Lei “Carolina Dieckmann” Dispõe sobre a tipificação criminal de delitos informáticos e dá outras providências.

Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa. Cuidado ao realizar testes de segurança 32. Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa. § 1° Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento.

4. Termos de pagamento: Qual o valo a ser pago pelo serviço? Qual é o acordo de confidencialidade? Nesta etapa, também é alinhado o limite de responsabilidade, ou seja, até que ponto alguma possível instabilidade é responsabilidade da empresa que está realizando os testes.

Como vimos neste post, durante a execução dos testes de invasão, dependendo da vulnerabilidade encontrada, informações sensíveis/estratégicas podem ser expostas, o que pode gerar um desentendimento caso a organização não tenha autorizado a exploração da vulnerabilidade nesse ponto. Além disso, podem ocorrer indisponibilidades do sistema, sendo importante realizar o alinhamento de expectativas e medidas que devem ser tomadas caso algo inesperado ocorra, além do compartilhamento dos riscos.

No próximo post, vamos conversar sobre a fase de Coleta de Informação. Não perca 🙂

Até a próxima!

 

Referências: Testes de Invasão: Uma Introdução Prática ao Hacking – Georgia Weidman; Segredos do Hacker Ético – Marcos Flávio Assunção

Sobre o(a) autor(a)

Samantha Morais Nunes
Samantha Morais Nunes

Formada em Ciência da Computação pela PUC Minas e pós-graduada em Segurança da Informação pela UNA. Iniciou a carreira na área de QA em 2011 como estagiária e hoje atua como analista de qualidade de software na Take. Participou com Letícia (QA), André (QA) e Rhamon (PO), do STWC 2014, conquistando o 4º lugar na etapa South America e o prêmio Most Useful Test Report. Fez parte da equipe de organização do Minas Testing Conference, um evento sobre qualidade de software que ocorre em Belo Horizonte e atualmente faz parte da equipe de organização dos meetups de Segurança da Informação 0x0d1a e Machine Learning BH.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Você pode usar as seguintes tags e atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

by Take ® 2015 | Todos os direitos reservados.linkedin