Explorando a necessidade de Pentest e suas fases

Se o seu cliente ele é uma empresa de desenvolvimento, meu amigo, o Pentest isterno, porque é 10 carinha programando errado e você atrás tentando corrigir, porque as empresas de desenvolvimento socam os programadores, uma pancada de requisitos funcionais e o cara que fez a análise engenharia de requisitos, ah meu coleguinha fez um serviço porco e aí o programador acaba cometendo isso, isso é muito normal, tá? Já se você está uma empresa que não tem desenvolvimento, mas o Pentest é realizado em cima da infraestrutura, por exemplo, de serviços que já existem que você contratou ou você vai acreditar no Pentest do cara que você tem uma ferramenta e que você está pagando para ele, porque se tiver vulnerabilidade lá você talvez não vai querer pagar, é meu amigo, Pentest é contínuo, é eterno, vamos explorar a necessidade do Pentest e fases do Pentest, a equipe de segurança está em uma eterna corrida, eu não estou com fome, eu acabei de falar, porque o hacker é muito melhor que a sua equipe de segurança, não importa, pode trocar sua equipe de segurança inteira, a luz sempre está atrás das trevas, porque o cara da luz não teve coragem de testar algo que é talvez um pouco ilegal, mas colocaram assim, e o cara que é das trevas teve a coragem de fazer isso, então ele viu técnicas que seu área de segurança, sua white adivinha, não viu, então eles não sabem, sempre correndo atrás, tudo bem, e naturalmente, pelo menos a sua equipe de segurança tem informações privilegiadas, que ajudam a localizar vulnerabilidade de uma forma mais rápida, o já o hacker, o black hat, que está na outra ponta, é natural que ele demora um pouco mais, porque ele tem que desvendar uma forma tecnológica, para tentar depois localizar um caminho possível, naturalmente nessa fiada, bom conhecimento é fundamental, e acabei de falar que equipe de segurança sempre está atrás em questões de conhecimento, e é verdade, livros é importante sim, cursos são importantes sim, naturalmente fazer o que é errado é importante sim com certeza, é muito, por isso que esse curso não está na Udemy meu coleguinha, falar isso na Udemy esse curso cai, exatamente, bom eu vou provar para vocês, vou fazer uma pergunta, se você é da área de segurança, pergunta-se, aí do lado de alguém aí, já fez um envenenamento de arp, ou de DNS, já usou a intercap para capturar como virar o gate aí da rede, não né, você está entendendo, então eles não sabem como que é fazer, eles não sentiram o drama de fazer, eles não vão saber se defender, o atacante sempre está parado, afinal é uma seleção natural, eu já falei aqui, os hackers são presos, os hackers são desestimulados através de processos, através de sua vida que fica ruim, é natural, eu vi trocentos hackers, usa todo tipo de droga que você imaginar, coleguinha, já conversei com esses hackers, passam madrugada em fóruns malucos, falando de coisas loucas, então muitos deles vão caindo no meio do caminho, e vai formando uma nata de cara foda para caralho, vai formando essa nata, e essa nata que vai te atacar, eu já falei no vídeo anterior, primeira coisa que você tem que entender é a motivação do atacante, se o atacante tem uma motivação baseada em suas técnicas, baseada em como ele entrou, baseada em como esse cara chegou aqui, e para onde ele está indo dentro da minha infraestrutura, eu consigo entender a motivação dele, e eu consigo entender se esse cara vai ser um grande problema monstruoso, que eu não vou ter capacidade de lidar, ou se naturalmente eu vou ter capacidade de lidar com esse problema, e naturalmente se chegou um cara muito foda na sua infraestrutura, você olha e fala assim porra esse cara aqui é foda para caramba bicho, eu vou dizer para você, você está ferrado, é a hora de você começar a rever a segurança interna da sua infraestrutura, ligar todas as ferramentas de segurança, monitorar tudo ao extremo, tudo vai ficar lento, tudo vai ficar uma bosta, mas você precisa, vai olhar os logs, vai olhar os arquivos que não podem ser alterados dos sistemas operacionais, vai checar o event viewer, essas coisas do windows, vai lá, corre, corre porque é um cara bem treinado, pensa assim, bom, e após o comprometimento, o cara entrou, puxa, natural que tem uma investigação forense, uma pós-análise ali, que pode ser morta, porque alguém teve a brilhante ideia de desligar a máquina, e aí tudo fica muito difícil, porque os malware modernos, eles entam, a primeira coisa que eles fazem, eles são mais espertos que os caras, os operadores das máquinas, o malware acorda, a segunda coisa que ele faz é identificar se está tudo bem, se ele não está sendo investigado, o malware hoje faz isso, se está sendo investigado, ele detecta se está sobre uma virtualização diferente do que ele estava, porque essas máquinas são virtuais, ele testa por exemplo se é o mesmo que é uma saída de rede, se o MechEdris não mudou, se algum MechEdris da subreddit não mudou, então ele está bem linda, então ele vai para a internet, não cara, mudou, aquele MechEdris que eu acessava mudou o MechEdris de saída, então tem um problema aí, o malware pensa, eu estou sobre investigação, então não vou fazer nada, vou ficar quietinho, por isso que não desliga a máquina, você desliga a conectividade da máquina, então você desliga toda a conectividade da máquina, cria uma VPN, uma subreddit e chama um cara especialista, não pode entrar com Windows nessa história não, não entra com Windows aí não, vai chamar o especialista e aí o cara vai puxar uma ferramenta de foremse e aí vai fazer um análise foremse, o Carlilinox tem sim ferramentas de foremse que poderia ser utilizado, bom, executa o plano de resposta ao incidente que está acontecendo, sua empresa tem que ter esse PRI e naturalmente o plano de continuidade do seu negócio, separei os dois aqui, para que você continue mantendo o negócio e aí tem vários tipos, né, tem desde backup, redundância na própria rede, redundância de nuvens diferentes, em vários tipos, espelho, você sabe, NIST 800 traço 34, documento para você aprender isso é NIST espaço 800 traço 34, vai lá, pega e lê, é um materialzinho muito bom para você que tem empresa, que tem um produto, que tem TI aí, você tem que saber, cada vez mais empresas contratam hackers, do mal, do bem, isso aí, cara, já falei que isso é índole do cara, mas evitam terceirização, isso aqui eu venho reparando, né, reduzir o número de chamados para fazer, por exemplo, pen teste e tipo assim, como um projeto terceiro e aumentou o número de pessoas que eles me contratar, cara, isso eu estou meio animado, eu acredito que as empresas estão caindo para uma seara que é o seguinte, de criar o ela, criar o ela com o hacker, no caso hacker ético, porque esse elo seria muito importante conviver com esse cara, cara, é uma profissão de altíssima confiança, se você não tem confiança na equipe você já arrunou a sua empresa, você vai ter que se livrar deles e olha lá como você vai se livrar, é um cara, não coloque um lixo na sua organização, o lixo que eu diga um cara que você não vai confiar, você vai destruir toda a sua equipe de segurança e não vai conseguir sair dessa, quando um cara desse sai de uma empresa, só para você ter noção, ele não sabe que ele vai ser demitido, vou contar como é que funciona, aí você vai chamar dois profissionais da área de segurança, três ou mais, quanto você tiver, menos o que você vai demitir, de última hora, entra em uma reunião, está sendo a demissão, na outra sala está tendo um gabinete de guerra, vamos colocar assim, uma sala de guerra, um gabinete, e ali está fechando as portas e analisando todo o impacto que esse hacker poderia fazer, é assim que é a demissão de um hacker, e aí naturalmente o hacker está lá na reunião preso, e está tendo gente falando, a questão de conversa, põe um cara por hacker para esperar, e a equipe que está fechando tudo, desligando se for necessário para esse hacker ser demitido, então assim é perigoso, começa a monitorar todos os backdoors que são abertos de dentro para fora, cara pode ser uma coisa muito, pode vir uma coisa muito semista para sua empresa, é assim que é a demissão, e aí você vai contratar qualquer um para entrar na área de segurança, não cara, se você não passar por isso, vai contratar um cara bom, e você vai tentar fazer o que, deixar o cara num contrato bom, e aí tem plano de, desculpa, você tem um contrato de sigilo, de confidencialidade, tem que ser assinado, vai pagar um dinheirinho a mais para o cara, mas o cara não presta, vai pagar um dinheirinho a mais para ele, faz ele assinar os contratos de sigilo e tudo mais, entendeu? Paga os 30 dias que você, você não vai mandar, daqui 30 dias eu vou te mandar embora, se eu mandar agora e paga multa, então demitir um cara desse é muito caro, muito caro, ah então o terceiro, cara o terceiro é pior ainda bicho, você nem sabe o que você está chamando, entende? É assim, o cara tem que saber se temos operacionais para caramba, redes de computadores para caramba, saber programação de tudo, de ser a Python, tira a Java tá, e como trabalhar, tem que saber como trabalhar, que é outra coisa também difícil, porque não é um emprego tão material, não é tipo o pé aqui e coloca ali essa caixa por favor, não bicho, às vezes como eu posso dizer assim, você nem sabe o que sua equipe de segurança está fazendo, eu recomendo que você, se você tiver uma equipe de segurança, peça eles para fazer um diário de bordo, de tudo que está fazendo, peça eles para quando tiver uma atividade importante que seja feita a gravação em vídeo, ou preste atenção que eu vou falar, roda o comando script para pegar o output de tudo que está fazendo, cara eu comprei um gravador HDMI que eu coloco na minha máquina, é um gravador externo, HDMI, e quando eu acho que vou fazer uma coisa e eu quero guardar mesmo eu ali na parte de segurança, eu acho que vou fazer alguma coisa muito, sim, difícil, que pode dar algum problema para mim, eu mesmo por segurança, a minha própria profissão eu gravo nesse aparelho que não está na internet, você compra no mercado livre, ele é um gravador HDMI com a SSD, bom acima de tudo você precisa de criatividade, trabalhar com criatividade, porra, e isso aqui é complicado, parece que a criatividade morreu na humanidade, não sei o que aconteceu, os caras não tem, parece que quanto mais informação o jovem tem, menos criativo ele está ficando, então tem que ter criatividade, sabe por que? O hacker é criativo, toda nata de hacker foda é criativo, o cara vai criar caminhos, sabe qual é a definição de hacker cara? Hacker é o cara capaz de criar caminhos, essa é a definição, hacker é o cara capaz de criar caminhos, e como que o cara criou caminhos na tecnologia? Sendo criativo, e aí, então você tem que ser criativo também, meu amigo, e ao término, então no final do teste de penetração, um relatório é apresentado as partes interessadas da organização, e aí geralmente a gente coloca um sumar executivo na forma, porque a gestão chega preocupada, então a gente já chega e já bate ali um overview que eles vão ver mais para frente, e um pouco mais complicado que isso, algumas tabelas bem rápidas, bem visíveis, pouco informação técnica, quase nenhuma, então depois você vem com informação técnica respaldando tudo aquilo, e lá no final uma boa conclusão com mais detalhes, e é isso que a gente espera no documento, e aí cada alvo, cada tecnologia tem um conjunto de ferramentas que nós capturamos o output e olhamos naturalmente, detalhe de todas as viscobertas, vulnerabilidades, né, que pode ser explorado, evitamos explorar se for produção, mas se for produção de simulação, explore, ah mas não vai dar certo, cara o seguinte, muitas vulnerabilidades elas existem, mas por um conjunto de fatores não são acessíveis, tá, então você explora, não conseguia alcançar e fazer algo, mas porque essa e essa e essa tecnologia, tá, elas estão me impedindo, porque isso, se um dia essas tecnologias forem removidas, aquela vulnerabilidade vai estar exposta, mas você não deixou passar isso aonde, não é o seu documento de pen teste, por isso que um documento de pen teste tem muito, eu vou colocar as para duplas, para dupla, porque eu acho escroto falar o que eu vou falar, mas meus colegas profissionais falam, falso positivo, para mim não existe falso positivo, se está lá, se piscou para mim, ah garoto, é porque, entendeu, eu tenho que mapear, entenderam, então próximo passo, nós vamos falar sobre como criar um plano para fazer esse documento, até lá, colega, até mais, tchau!