Entendendo as abordagens do Pentest

Vou explicar agora as três abordagens que naturalmente nós podemos escolher uma delas para o nosso projeto de penteste. Bom, vamos lá. A primeira, a caixa branca. Vamos entender aqui o que a empresa vai te passar, o que você espera conseguir e vamos também dizer o que poderíamos entregar para uma empresa. Vamos supor que o nosso penteste está relacionado ali a um site web. Beleza? O testador recebe informações completa sobre a aplicação e todas as suas tecnologias. Com isso, é natural que o seu processo de análise será muito rápido. E naturalmente, como eu posso dizer, eu não vou dizer eficiente, mas digamos que você vai encontrar muitas informações. Bom, porque eu não vejo e não posso classificar isso como uma coisa muito eficiente. Imagine que você iria enxergar a solução alvo como um agente interno malicioso. E aí é que está. Bom, nem todo hacker é um agente interno malicioso. Bom, então quer dizer que você estaria vendo como um agente interno malicioso e não como hacker. Talvez você não enxergue algumas coisas que viriam, ou seja, ataques de fora para dentro da sua organização. Então você executa esse teste, principalmente tem agente interno malicioso na sua organização? Tem. Então você tem que fazer uma caixa branca, isso é obrigatório. Isso é obrigatório. Mas você perde a capacidade de ver como o hacker enxerga de fora. Aquele cara que não está aqui dentro. Você recebe credenciais às vezes, tá? Vou meter um asterisco aí nas credenciais. Diferentes níveis de acesso para tentar identificar. Vulnerabilidades. É a forma mais rápida. Segundo o livro é a forma mais completa. O mais completo quer dizer traz mais informações. É isso que ele está falando. Nós fomos olhar mesmo, depois que eu vejo uma caixa branca, depois que eu estou com a idbox, eu não consigo mais enxergar a aplicação como se fosse um hacker externo. Esse é um problema. Então é natural que eu não posso fazer o teste de caixa branca e depois fazer o caixa preta, tem que ser outra pessoa, não pode ser eu mais. Entende? Isso é importante, porque nosso cérebro é contaminado pelas informações que nós já vimos e nos foi dado informações privilegiadas. Bom, pergunte para o teu cliente, ele quer executar duas abordagens? Dá para você executar duas abordagens. Por exemplo, essa abordagem é a mais comum, porque a galera acredita que o maior inimigo está na internet, o maior inimigo está externo, o maior inimigo não está dentro, enxerga-se assim e nós queremos, naturalmente, verificar como esses agentes iriam enxergar meu site. Então, provavelmente eles iriam de fora da rede, começar a buscar informações sobre mim, sobre meus produtos, sobre meu pessoal, de fora. Ele nem sabe, na verdade, eles nem sabem, o meu corpo de funcionários, os produtos que temos e tudo mais. Mas é muito útil, porque... e eles estão certos, que classifica-se que o maior volume de ataque vem de fora, não vem de dentro. E essa forma específica de teste é eficiente para determinar o que o hacker real, o hacker de fora, descobrirá. Lembre-se, agente interno malicioso tem um poder destrutivo maior que um agente externo, hein? Vai por mim, experiência, cara. Porque ele tem informação privilegiada, meu amigo. Ele sabe onde está cada servidor, ele sabe quem manipula cada servidor, ele sabe que se conseguir comprometer uma pessoa, ele vai chegar em tal ponto do sistema, ele sabe quais bancos de dados tem, quais informações, dados sensíveis são melhor para extorsão. Então, talvez seja interessante, nem fazer um grey box, tá? É muito interessante fazer um black box com a caixa preta, olhar como o hacker enxerga. Um projeto termina, entrega, tudo mais. Próximo projeto, white box, uma caixa branca ali, que agora como que os funcionários enxergam? Agora você pensa, lembra que você tem que modelar as ameaças? Você tem que modelar as ameaças. Então, você primeiro modela, então, o primeiro serviço ou uma ameaça externa, depois você executa como uma ameaça interna, poderia dizer, um outro trabalho, um outro projeto. Fica muito melhor assim. Bom, seu trabalho na empresa há anos que é aqui fazer o pen test, né? Pô, se agora, cara, você não vai conseguir fazer isso. Você jamais vai conseguir fazer isso, porque seu cérebro está contaminado. É muito difícil você fazer um hard reset no seu cérebro e voltar há um ano atrás. Não tem como, dois anos atrás, não tem como. Não tem aquela frase que você se fala, pô, eu preferi não ter visto isso. De repente, se eu olho pro lado, vi uma coisa que não deveria ver e você pensa, não deveria ter visto isso, né? Não tem como você apagar mais, mano. Waybox. Esse aqui eu não gosto muito, mas tem gente que faz. Utilizado para fornecer um cenário de teste realista ao mesmo tempo que oferece aos testadores informações suficientes para reduzir o tempo de trabalho. Olha só, muito rápido produzir alguma coisa aqui, muito lento produzir uma coisa aqui. Só que aqui você acaba tendo informações privilegiadas, né? Você consegue, naturalmente, alcançar o máximo possível de funções, API, serviços, numa rede, por exemplo. Aqui pode ser que você, inclusive, não falei pra vocês, aqui pode ser que você não encontra alguma coisa. Por exemplo, vou fazer um pen test, caixa preta, para uma empresa. Eu não achei um site deles, eu não consegui linkar um site deles. Então ficou parecendo que ficou incompleto para a empresa, mas não ficou incompleto. É que na visão do Hacker não tinha ligação da empresa com aquele produto, cara. Entende? Isso pode acontecer na caixa preta, que não aconteceria na caixa branca. E aqui eles fazem o seguinte, então vamos fazer um meio termo, vamos tentar fazer um meio termo. Só que eu não gosto do meio termo, porque poxa cara, você perde como o cara do mal externo te vê e você perde como o cara do mal dentro de você te vê. Eu penso assim. Aí é o meu pensamento, é o meu pensamento. Outra coisa interessante também que você tem que ter na sua mente é que aqui, quando você cria o escopo, o documento de escopo, aqui é o AirPot, você vai colocar o escopo antes da modelagem, onde você vai obter essas informações. Quando você vai conseguir os dados para você gerar um documento, são dois documentos, um é de confidencialidade e o outro é o escopo da análise. O que vai acontecer? Você vai... Aqui, um que é... Não, não, não, é lá de cima. Pode mal, galera. Estou trabalhando tantos dias, cara. Então o primeiro aqui é confidencialidade, o segundo seria o escopo, certo? Então, o que que acontece? Quando você está em caixa preta, o escopo é pequeno, cara. Quando você está em caixa preta, o escopo é pequenininho. É difícil até a empresa te dar um ambiente para testar. Sério. Mas quando você está em caixa branca, o escopo é maior e a empresa tem mais recurso para te dar, como assim? Ele pode aqui te dar um ambiente para você testar, tudo prontinho, tem um clone, tudo mais. Você vai ter que definir tudo isso, é muita coisa. Então, o cara que sai do escopo bem grande aqui. Aqui, o cara sai com o escopo mínimo. Empresa, talvez alguns produtos. Você vai ser a web, você vai ser de rede. O que vai ser? Se for web, é API, tela. Então, vai sair com o mínimo possível aqui. E o cara vai ter que achar isso. Então, ele achar um ambiente de teste e uma olagação é complicado. Geralmente, aqui ele acaba caindo em produção. Ele acaba fazendo sua operação em produção. Aqui, já teria um ambiente melhor. Tem gente que acha que é apenas um termo idiota, não, cara. Veja o tanto de informação. Legal? No próximo vídeo, vou falar de tipos. Vamos entender cenários. O que nós vamos fazer, naturalmente, a nossa ação. Até mais, tchau!