Quando se trata de segurança cibernética organizacional, às vezes a única maneira de conhecer seus pontos fracos é explorando-os. Isso pode ser realizado por meio de uma forma única de engenharia social – conhecida como teste de penetração – que expõe a maior vulnerabilidade de um sistema: as pessoas que o operam.
Os pesquisadores demonstraram que algumas das violações mais bem-sucedidas não são realizadas por ataques cibernéticos sofisticados contra a própria tecnologia. Surpreendentemente, os hackers muitas vezes conseguem obter informações valiosas com apenas uma prancheta e um sorriso. É por isso que o teste de penetração é um exercício tão valioso.
O que é teste de penetração?
O teste de penetração é uma forma de hacking ético. As organizações usam testes de penetração para identificar e corrigir falhas de segurança em seus sistemas de computador, redes e aplicativos.
Cada organização individual tem seu próprio conjunto de riscos de segurança, portanto, não existem dois testes de penetração exatamente iguais. Mas a estrutura primária do processo envolve a coleta de informações sobre os pontos fracos da organização, a identificação de pontos de entrada em potencial e a tentativa de invasão.
Resumindo, os mocinhos tentam expor os problemas em potencial antes que os malvados tenham a chance de fazê-lo. Pense em Nicolas Cage roubando a Declaração de Independência do filme Tesouro Nacional . Ele não fez isso porque quis; ele fez isso para protegê-lo.
O mesmo conceito é verdadeiro quando se trata de testes de penetração. As informações são coletadas sobre os pontos fracos de segurança e, em seguida, repassadas para a equipe de gerenciamento da organização, garantindo que providências estratégicas possam ser tomadas para dissipar qualquer chance de uma futura invasão.
Como um Pen Test é realizado?
O ideal é que um teste de penetração (também conhecido como “pen test”) seja realizado uma vez por ano por um hacker de chapéu branco treinado – alguém que usa suas habilidades de hacker para o bem. Esses hackers éticos usam os mesmos métodos de violação que os hackers de chapéu preto (os bandidos), com uma distinção fundamental: eles são contratados pelo proprietário do sistema e executam o ataque com permissão.
Os pentesters geralmente usam ferramentas automatizadas, como Nmap e Wireshark , que examinam rapidamente o software em busca de vulnerabilidades que podem prejudicar sistemas inteiros. Muitas dessas ferramentas também categorizam vulnerabilidades com base em sua gravidade e geram logs detalhados que podem ser usados para melhorar a segurança.
Existem vários tipos de ataques simulados que podem ser executados. No teste direcionado, a equipe de TI da organização trabalha em conjunto com o pentester e uma abordagem “luzes acesas” é usada – todos na organização podem ver o teste em ação.
Depois, há os testes cegos, em que apenas uma ou duas pessoas em toda a organização sabem que um teste está sendo realizado. Isso pode ser levado mais longe realizando um “teste de caixa preta”, em que o testador não recebe nenhuma informação útil da organização com antecedência, como endereços IP.
Os testes podem ser internos ou externos. Os testes externos são direcionados aos ativos visíveis de uma organização, como seus servidores de email e web. Os testes internos imitam ameaças internas que podem vir de usuários com privilégios de acesso.
Cada uma dessas técnicas coloca os funcionários encarregados de proteger os sistemas cibernéticos à prova. Depois de concluídos, o verdadeiro trabalho pode começar.
Um dia na vida de um pentester
Os pentesters não estão vestidos como James Bond em um smoking, dando cambalhotas sob as vigas de lazer e se escondendo atrás das paredes. Eles tendem a ser homens e mulheres normais vestindo roupas normais ou ternos, misturando-se à multidão como apenas outro Joe comum.
Jayson Street é um deles. Um hacker de chapéu branco que usa uma variedade de técnicas para expor as vulnerabilidades dos sistemas, Street é um testador mestre de penetração há anos. Ele roubou bancos em Beirute , comprometeu seguradoras em Boston e até invadiu o Departamento do Tesouro dos Estados Unidos.
Você escolhe, Jayson Street provavelmente invadiu isso. E na maioria de seus empregos, ele usa jeans e um moletom. Ele é um dos testadores de penetração mais conhecidos entre empresas e organizações em todo o mundo, usando qualquer coisa, desde coelhinhos bash a patinhos de borracha e potes de mel e abacaxis como seu “equipamento de escritório”.
Mas há algo diferente em Street que o torna único no campo dos testes de caneta . Em vez de simplesmente escrever um relatório detalhando as vulnerabilidades expostas, como muitos outros pentesters, ele dá um passo adiante. Ao final de um trabalho, Street espera realmente ser pego para que possa educar diretamente aqueles que ele comprometeu.
“Durante um trabalho, vou passar os primeiros dois dias sendo a pior coisa que já aconteceu a este negócio ou empresa”, explica ele, “mas no último dia vou realmente tentar ser pego. E eu sou uma das únicas pessoas que irão tão longe, porque eu quero falar com cada pessoa que eu fiz concessões, dizer a elas o que deu errado e educá-las sobre o que fazer no futuro. ”
Street tem a missão de impedir hackers criminosos com educação. Seu trabalho não só ajudou inúmeras empresas ao redor do mundo, mas também as pessoas com quem ele interage, ensinando-lhes sobre as ameaças que podem comprometer suas vidas domésticas.
Ele acredita no poder e na eficácia dos testes de penetração, porque os viu funcionar em primeira mão. “Um dos melhores compromissos em que já participei foi este ano”, diz Street. “Eu havia testado a empresa no ano anterior e, este ano, eles me pegaram. Várias vezes. Isso me mostra que meu trabalho que fiz no ano passado funcionou. ”
Street é a prova de que o hacking pode ser usado para o bem . Embora possa ser um choque para muitas organizações, a facilidade com que ele consegue penetrar em seu sistema com algumas mentiras e uma unidade USB, é melhor expor os problemas de segurança antes que um malfeitor tenha a chance.
“Quando você está vivendo em um incêndio no lixo, você tem duas opções. Pegue marshmallows e veja-o queimar ou tente apagá-lo ”, descreve Street. “É isso que me motiva. Não apenas mostrando onde está quebrado, mas mostrando às pessoas como torná-lo melhor. ”