Tipos de Pentest, é importante entender o cenário

É coleguinha, você não pode escolher as ferramentas erradas para o seu pen-test, muito menos uma abordagem errada e é natural que isso depende do que, bom, do que lhe foi contratado. Bom, eu não sei se vocês têm a mesma ideia que eu, tá? Porque tem muitos profissionais do pen-test que são contratados para fazer o pen-test de uma aplicação web e da rede de computadores e joga tudo isso no mesmo projeto. Talvez seja interessante fazer o que eu venho fazendo, eu separo. Por quê? São abordagens diferentes para alvos diferentes? Bom, então vamos lá. Tipos de pen-test. Em uma avaliação de vulnerabilidade, o profissional de segurança naturalmente utiliza a escânera de vulnerabilidade para avaliar esses níveis de segurança que nós temos lá. E aí é que está dependendo do alvo, eu utilizo algumas ferramentas, vou colocar as paduplas para a dupla escânera aqui, que é o que o livro diz. Para outro cenário eu vou utilizar outras ferramentas. Por exemplo, é uma aplicação web legal. Então já na minha cabeça já tem um conjunto de ferramentas. A aplicação web é em WordPress, então na minha cabeça uma das ferramentas sobe bastante nessa lista. Ela é chamada de WPscan. Então seria a primeira que eu executaria. E tem componentes de terceiro, pensaria também em um SQL Map. Esses componentes do WordPress são tudo vulneráveis. Entendeu a dinâmica? Agora vamos lá. Eu tenho que fazer uma análise de vulnerabilidades e é uma aplicação web de API, de conexão. Aí eu já não trabalharia com SQL Map, Jamags, porque ali geralmente são vulnerabilidades de tokens, vulnerabilidades de parâmetro, criptografia, são ferramentas diferentes. Bom, vamos entender o cenário então. Cada cenário é um projeto diferente. Se você quiser, por exemplo, fazer, vamos pegar aqui o pior cenário de todos no ponto de vista, uma aplicação mobile. Uma aplicação mobile você tem vetores de ataque e toda uma dinâmica no dispositivo que seria uma análise. Mas só que esse mobile, essa aplicação se comunica muito com as aplicações web, no caso a PIS seria talvez um outro projeto. Pense assim. Vamos lá. É um clássico de todos, porque parece que o mundo inteiro tem uma aplicação web. Até eu tenho uma aplicação web. Poxa, todo mundo tem uma aplicação web. As aplicações web é o tipo naturalmente de aplicação mais comum. Mobile está seguindo ali. Eu acredito que mobile vai ultrapassar a aplicação web com certeza. Porque as pessoas já não têm computador em casa. E as aplicações mobile vão cada vez ganhar mais força. Um cenário em que o celular, o dispositivo móvel, ele suplanta, então, o computador desktop na casa das pessoas. Então com certeza aplicações web será seu primeiro trabalho. Com certeza. E tem muita gente na internet que pede esse tipo de serviço. Bom. Então nós temos que realizar testes, manuais de invasão, de penetração nessas aplicações web, passar escâneros de vulnerabilidade, entender que tecnologia tem ali para escolher o scanner correto, gerar o menor ruído possível na aplicação para não ser detectado, cuidado para não cair no RonePot, com umas páginas RonePot no meio da aplicação. É, coleguinha, meu site tem umas páginas RonePot lá. Se você cair nela, bloqueio IP, bloqueio tudo que eu puder bloquear de você, vou bloquear. A aplicação que é assim, cara. Legal. As aplicações mobile que vem crescendo muito. Eu não gostei da afirmação do livro. Ele diz que tem teste em aplicações mobile é igual a aplicação web. Não, não, não. Eu não vejo assim. Mas ele fala pelo menos que o vetor de ataque é diferente. Porque as aplicações web geralmente, elas têm campos e tudo mais, tem muito JavaScript. Aqui você já teria o que? Código ali em Java. Tem várias tecnologias hoje, antigamente era só Java. Que você pode ali obter os pacotes, né? Os APKs, abrir o APK, localizar quais são os pacotes. Você pode trabalhar em cima dos arquivos que são salvos, dos dados que são salvos pelos aplicativos móveis e principalmente, eles não vão morrer ali na aplicação no dispositivo móvel. Esses dados vão acabar indo parar num servidor. Então é natural que tem ali um projeto de análise de web API, que é diferente de uma aplicação web de caixinha de texto. Lógico. Bom, cada vez mais, logo logo vai passar isso aqui. Com certeza. Eu acho mais difícil fazer para aplicação móvel. Tanto para aplicação móvel, como para aplicação web, a OWASP tem framework pronto já para você ler e entender framework de ideias. Quer dizer que você vai ter um programinha que vai resolver sua vida? Framework de ideias. E é lógico que nós vamos utilizar. Engenharia social. Aqui é o seguinte. O autor que gera muita adrenalina nele. Eu fico triste. Personalidades diferentes. Do autor do livro. Eu fico triste porque eu vou explorar a vida de pessoas. E, naturalmente, eu vou expulpar pessoas. Trabalhei num lugar, que tinha um projeto lá, que tinha um cara que era meio pavão. Pavão, pavão, pavão. E aí, naturalmente, um belo dia. Precisamos fazer uma análise sobre o quanto estávamos expostos. E aí eu fiz uma análise desse cara, muito por alto, cara. Pô, cara, família do cara, exposta, onde o cara mora, onde o cara vai no sinal de semana com as crianças. Muita burrice, cara. Muita burrice. Muita burrice. Então, eu não gosto muito, na verdade. Então, eu acho adrenalina. Eu já acho tristeza. Então, eu acho isso muito triste. Mas, olha, uma vez eu cometi um erro. Eu fui fazer uma análise de um funcionário, né? Que ele colocou no link assim, a procura de oportunidades. Bom, veja só. Não sei se vocês conhecem o OPT Hacker. Lázaro. E esse grupo, ele vem trabalhando muito nisso aqui. Principalmente em cima de funcionários de empresas. Só para te mostrar. Então, você vai vir aqui, por exemplo, em Malpedia. Tá? Procura no Google. Você vai encontrar aqui atores de Malpedia, grupo Lázaro, grupo mais poderoso do planeta. Se você olhar aqui nas notícias, você vai ver ele em LinkedIn, você vai ver ele em redes social. Pode procurar aqui que você vai encontrar. Você vai encontrar. São eles fazendo o quê? Engenharia social em funcionários, funcionários de empresa. E aí eles conseguem fazer com que esses funcionários executem algo malicioso lá. Beleza? Procura lá que você vai encontrar. E eles exploraram muito isso no início de 2025. Aí, do meio de 2025 para frente, eles já não exploraram tanto. Não sei por quê. E é uma pegada muito investigativa. Provavelmente você vai ter que pagar pro LinkedIn, você não pode deixar rastro. Então, você vai ter que pagar pro LinkedIn, você vai ter que dar um jeito de conseguir contas. Você vai ter que fulsar a vida da pessoa, vai ter que pagar ferramentas, vai ter que atras de doxing de pessoas. É, cara, é pesado. Não é só ir lá e ver se ele tem um Facebook. Você vai ter que fazer um doxing da pessoa. Porque pelo doxing, o hacker chegaria até essa pessoa e colocaria a vida dessa pessoa em risco se não rodasse uma aplicação maliciosa na sua empresa. Então, cara, é pesado, cara. É pesado. Eu acho isso aqui muito pesado, cara. Ah, cara, penetração em rede. Tem como foco identificar vulnerabilidade e segurança em um ambiente alvo, um ambiente de rede. Então, rede física. Você pode associar isso aqui com, no caso de física. Então, você pode associar um pen teste físico com um pen teste de rede se você explorar o alvo e o ambiente do alvo para ter acesso à rede. Nem sempre o Wi-Fi é tão visível assim. Você quer ver um teste que você faria assim fácil? Você sentaria em uma máquina que está na rede de cabeada. Colocaria uma parte para rodar rapidinho ali. Qualquer coisa assim que seja um serviço ou web. E aí você pega o celular, conecta no Wi-Fi do seu cliente e digita o IP da máquina, o IP interno da máquina. Se abrir, você já deu um crash nos caras já, tá? Porque nenhuma máquina da rede cabeada pode ser acessível pela rede Wi-Fi. Isso é uma regra de segurança. Então, os caras não têm firewall. Os caras não têm regra. Praticamente eles pegaram o access point e socaram ele lá no switch de camada 2. Em camada 2 não dá para a gente proteger nada. A gente protege na camada 3, na camada 4, lá na camada de aplicação também. Tudo bem? Lá a gente consegue. Mas aqui não. Então é um exemplo do que nós fazemos computadores, impressores e servidores. Cara, você não faz ideia do tanto de vulnerabilidade que tem as impressoras. Você não faz ideia, você não faz ideia de tanta merda possível ser feito com uma impressora na rede. Cara, eu estou brincando. E a impressora ninguém joga fora. Ninguém quer jogar fora uma impressora. Ah, essa impressora de Torre trabalha aqui há 10 anos. Então ela está te deixando vulnerável há pelo menos 6 anos. Servidores acessíveis sem uma DMZ, sem um controle nada. Computadores muito acessíveis. Conforme eu falei, você pode juntar isso aqui com um pen-test em ambiente físico. Usos de rede como acess point, switch, roteadores, por exemplo, você quer ver, bate um, pegue uma lista de dispositivos na rede com en-map, um portes canto. Você não foi detectado, porque os caras são muito ruins. Não tem um IDS, não tem um IPS na rede. Aí tu me acha, todas as portas 23. A porta 23 tem grande chance de ser um switch gerenciável, um acess point, um router mal configurado. E aí você tenta pegar o modelo com en-map e você consegue buscar a versão das coisas. E aí você tenta pegar o modelo. Primeira coisa que você vai fazer é, qual é o usuário sem a padrão desse modelo? Sério, você vai conseguir. Se você não conseguir, tenta usar mat exploit framework para ver se já tem alguma coisa para aquele equipamento. Meu, é batata, batata. Naturalmente um bypass no caso de DS e IPS, se tiver, não estou vendo isso muito nas empresas, deveria ter bypass de firewall, cracking de password, ganhar acess a servidores, conforme eu falei. Aqui eu sintetizei, que ficou mais ponta a ponto. Você também pode fazer o que? Escutar protocolos na rede, os cinco protocolos mais procurados são Telnet, FTP, SMTP, TOP e HTTP. São os cinco protocolos mais procurados em uma SNIFada. Se o SNIF você não sabe fazer, vou dar um curso de SNIF para vocês. SNIF de cabeamento é de uma forma, o SNIF wireless é de outra forma. E aí, pior de todos, meu ponto de vista, fui chamado para fazer um penteche há mais de ano já, em uma tecnologia que usava ferramentas de nuvem. Eu não encontrei a vulnerabilidade na aplicação dos caras, mas eu consegui colocar um vírus, um arquivo vírus, fui lá no abuse, peguei um vírus e tentei colocar, não consegui. Eu dei meu jabá colê em cima da Amazon, dessa plataforma e consegui colocar um vírus dentro do S2, S3, não lembro, consegui colocar um vírus lá dentro, passando pela validação de antivírus deles. Triste, né? A falha não era no cliente, a falha era na nuvem. E aí? Olha essa técnica aí, essa aí está guardada no meu... Está guardada, não consegui executar, não consegui ter acesso, mas a empresa confirmou que estava lá o arquivo malicioso, eu pedi para eles não executar em um arquivo e ele foi como XZ, cara. E além de ser um binário, um vírus, ainda era um XZ. Triste, né? Mas sabe qual é o problema? Ninguém pediu permissão para a galera de nuvem, não, tá? Tem que pedir, tem que pedir. Ninguém pediu. Eu aplalei, eu aplalei essa verdade, eu aplalei. Físico, acesso físico. Bom, aí digamos que a empresa veio aqui, fez um iralus que não vai até a rua, no máximo ali no estacionamento com potência muito baixa. E aí você então tem que fazer uma penetração física no ambiente para ter acesso à rede, para ter acesso a dados, para ter acesso a alguma coisa, geralmente rede. Tem sempre um ponto de acesso muito próximo das entradas e saídas, devido à questão de cartão de ponto. Tem sempre alguma coisa, tem sempre alguma coisa. Você pode explorar buracos na cobertura de câmeras, em sensores, questão de biometria, passar pela biometria, falsificação de QR-Code, de barcode de carteiras, de acesso. Quando é biometria mesmo ser humano, aí você já tem um pouco de dificuldade. Quando as portas são acessíveis, se são fechadas e naturalmente a segurança dos guardas, você faz uma grande idiotice lá para ver se... Eu vou contar a coisa que eu fiz. Aí eu estava no Rodíso, São Paulo tem o apôr do Rodíso. Falei em palavrão, desculpe, por isso que esse curso não está na UDM. Aí meu amigo, cheguei na empresa, bem cedo, cedo, cedo. Aí fui buscar café em um andar, porque meu andar não tinha café. Fui lá buscar café na máquina, lá é máquina. Aí meu amigo, eu sei que do nada, entre um moleque, programadorzinho, e aí ele questiona se eu vou ser o novo programador da equipe que estão esperando, se era eu, não sei quem, lá da equipe. Aí eu pensei, eu poderia falar para ele que eu sou e aí passa batido. Mas aí eu decidi sacanear o moleque. Sabe o que eu falei? Não cara, eu sou um hacker que está fazendo uma intrusão física em vocês. E isso eu estava lá no andar número 5, acho. 4, 5. Aí eu desci lá para o andar número 2. Estava lá na minha baia, trabalhando. Daqui a pouco eu vejo os segurança entrando na porta do departamento. Meu departamento tem duas portas. Eu vi um segurança entrando em uma. Aí eu olhei para trás, lá na outra porta, já tinha os segurança também. E o molequezinha apontando o dedo para mim. Ele fez certo cara. Ele correu na segurança. O moleque fez certinho. Ele está certo. Aí o segurança me reconheceu porque eu trabalho lá quase uma década já e porra cara. No caso na época eu já trabalhava quase uma década. Entenderam? E o segurança olhou para mim, fez aquela careta porque ele me conhece de muito tempo. Sempre cumprimentei o segurança, sempre peguei na mão deles. Aí ele olhou para mim e fez umas careta e balançou a cabeça e saiu. Cara, eu fiz certo, o moleque fez certo e a segurança agiu em quase minuto. Eu só apontei uma instrução, eu nem tinha dado dois ou três goles no café. Eu tinha acabado de sentar lá na cadeira lá, estava pensando o que eu ia fazer bicho. Ele mostra. Tem que ser assim mesmo. Então se você na empresa vê alguém que você não conhece, vai lá. O moleque talvez tenha feito errado em me perguntar. Também não sei se ele me perguntou algo real ou não. Mas cara, vai na segurança. Tem um cara diferente aqui no meu andar. Vocês podem dar uma confirmada? Sério cara. Não confia não, bicho. Confia não. Bom. Próximo vídeo vou falar sobre explorando fases da invasão, ou seja, o réquico. Você tem que entender como é que o cara faz, bicho. Eu já falei. O raco é ético, a luz está sempre atrás das trevas, porque as trevas foram lá e fizeram alguma coisa. Eles tiveram coragem. E o raco é ético, não tem coragem ou preguiça, não sei. Então você tem que ir lá também, porra. Vamos lá, próximo vídeo vou falar sobre isso. Até mais, tchau.