sábado, 7 de julho de 2012

Pentest no próprio pc com máquinas virtuais não funcionam!

PROVA DE QUE CONFIAR EM MÁQUINAS VIRTUAIS PARA PENTEST É SUICÍDIO PARA O PENTESTER PROFISSIONAL!

Senhores, boa noite, em plena madrugada vou escrever explicando e provando pela experiência que pentest se deve fazer de computadores de fora da rede totalmente.

Muitos hackerS e professores, erroneamente ensinam que para saber se seu computador está protegido, você deve instalar uma máquina virtual, instalar um sistema operacional e instalar neste ferramentas hackers para fazer o pentest, ou então instalar uma distribuição de pentest como o backtrack que eu inclusive sou fan e só uso ele. Basta testar com máquina virtual e está tudo perfeito. Será?

Bem, vamos comparar a experiência que fiz e tive e tirem suas conclusões:

Pentest usando máquina virtual com backtrack 4 instalado.

Ferramentas hackers usadas:

Nessus
Nmap
Nbtscan
SMtpscan
DNSscan
Super Scan
entre outros!

Foi desativado o serviço de netbios, icmp, bloqueando com o comodo firewall que é o melhor firewall do mundo na minha opnião para home users todas as conexoes de entrada.
Instalado IDS valhala honey pot e SAX2 (excelente honeypot paga). Entre outras configurações de segunrança para o windows 7 temos a seguir:

O resultado é que mesmo, com todo este arsenal, o IDS identificou o scanning dos scanners
Os scanners conseguiram se conectar as portas, mesmo estando ativado no firewall para bloquear todas e quais conexões de entrada. No meu caso apareceu aberta a porta 135 do serviço rpc e outras também com serviço rpc. identificado o sistema operacional windows pelos scanners.

Agora, usando um outro computador, mas que está na mesma rede, usando um roteador, O RESULTADO, FOI O MESMO!

Agora, olha que fantástico!


Conectando meu computador alvo em meu modem.


E o computador para fazer o pentest em uma rede wireless. A máquina de ataque está em uma rede diferene aqui amigos!


TEMOS UMA ATAQUE REAL AQUI. NÃO É REDE VIRTUALIZADA E NÃO ESTÁ NA MESMA REDE.

Sabem qual foi o resultado?

Não consegue scannear com nmap, nem com nessus, nem com nada!
Não consegue se conectar absolutamente a nenhuma porta.
Não consegue saber qual sistema operacional está funcionando!

O IDS nem identificou nada, por que não houve conexão!

O computador atacado estava com as mesmas configurações de antes. E nada do ataque funcionar! Veja os procedimentos que usei para defender meu sistema!


O firewall comodo, bloqueando todas as conexões de entrada além de outras regras mais rígidas.
Serviçoes de acesso remoto foram desativados.
Serviços de netbios desativados. Compartilhamento de arquivos desativado.
Em fim, nada de identificação.

Os scanners apenas conseguem saber se estou online, só isso, mas nada!


Desativando as defesasFazendo o ataque com o computador vulnerável para testar a efetividades de ferramentas sendo usadas sozinhas como o IDS.

Desativei o firewall, e ativei os serviços de net bios e todos os outros de acesso remoto e deixei só o IDS SAX2 e o valhala.

Consegui então scannear as portas 135 e outras de serviço rpc.

O VALHANA HONEYPOT, NÃO CONSEGUIU IDENTIFICAR O ATAQUE.

O SAX2 HONEYPOT CONSEGUIU! Parabéns!

A conclusão que podemos tirar disso tudo é que, o valhala, identifica ataques de máquinas virtuais, mas de outro computador, se você for atacado com stealth scan, ele não pega, e você naõ saberá que está sendo invadido.

Muitas pessoas ficam iludidas com a eficiência do valhala por que TESTAM COM MÁQUINA VIRTUAL PARA SABER SE ELE FUNCIONA. Mas na vida real é diferente, a pergunta que devemos fazer é. será que em um ataque real de outra rede, meu ids vão funcionar? Meu firewall vai bloquear?

O SAX2 está de parabéns conseguiu identificar, mas quando eu coloquei o firewall para bloquear todas as conexões de saída, ele nem identificou por que o nmap e nessus não conseguem scannear nenhuma porta!

Com este relato inédito talvez, vocês aprendizes e até experientes, sabem que para ver realmente se tudo está protegendo, e se o seu pc ou rede está funcionando, É NECESSÁRIO FAZER O PENTEST DE UMA REDE TOTALMENTE DIFERENTE DA SUA, DE OUTRO COMPUTADOR!

Por que é necessário simular um ataque real para testar sua segurança!

Muitos vídeos no you tube os ataques são à máquinas virtuais, mas na realidade, sem ser com máquinas virtuais não funcionam!

E as vezes um tipo de defesa de firewall funcionam na simulação de máquinas virtuais, mas quando o ataque é feito de outra rede os firewalls não funcionam! Ou o mesmo acontece para IDS, como aconteceu com o valhala que não identificou o ataque onde as portas scannear apareceram no scanner nmap e nessus, mas o valhala não identificou. E eu testei com scan invisível, com agressivo que é facilmente identificável. Mas nada do valhala funcionar!

OUTROS DETALHES ALARMANTES!

Configurei o FIREWALL DO WINDOWS, DA SYMANTEC OU NORTON, E OUTROS
Programei eles para bloquear todas as conexões de entrada.

Fiz o mesmo ataque e:

O nmap e nessus identificou as portas!
COMO É QUE VOCÊ MEU AMIGO PAGA R$ 100 POR ANO POR UMA DROGA DESSA!

O comodo firewall que é grátis, só permitiu que o nmap e nessus identificasse meu computador alvo como online, só isso, nada de nenhuma porta, nada de nenhum serviço, nada de identificação de sistema operacional algum. FANTÁSTICO SIMPLESMENTE É GRATUITO!


CONCLUSÃO

Se quer ser um hacker, e fazer pentest, compre e tenha dois computadores e use redes totalmente isoladas umas das outras. NÃO USE MÁQUINAS VIRTUAIS POR QUE O TESTE PODE SER ENGANOSO! Me agradeçam pois muitos iniciantes pensam que máquinas virtuais simulam igualmente um ataque real. TOTALMENTE ERRADO ISSO, E TEM GENTE ENSINANDO ISSO POR TODO O LUGAR! EU JÁ CAI NESTE CONTO, MAS AGORA ANIQUILAR ESTA MIRAGEM QUE ENGANA VÁRIOS PROFISSIONAIS DE SEGURANÇA!

Faça o pentest, para testar todos as ferramentas.
Eu scannei com o firewall ativado para testar o firewall.
Depois sem o firewall para saber o que acontecia, mas com o ids ligado para ver se ele funciona mesmo, E o valhala, por exemplo não passou no teste e eu não uso aquilo mais!
Scanneei de novo, sem nada ativo para saber que portas aparecem , para saber se algum serviço que desativei, aparece no scan, POIS ASSIM SABERIA QUE NÃO FUNCIONOU A DESATIVAÇÃO E ENTÃO RESOLVERIA O PROBLEMA.

Então, senhores, queREm ser um pentesters? TENHA DOIS PCS, E DUAS REDES ISOLADAS ONDE VOCÊ USA CADA COMPUTADOR EM CADA UMA ISOLANDO-OS, PARA ATACAR DE VERDADE E COM BRUTALIDADE. SÓ ASSIM, PODERÁ GARANTIR A SEGURANÇA!

NÃO SIMULE NADA, ATAQUE DE VERDADE! MÁQUINAS VIRTUAIS E USAR A MESMA REDE MASCARAM O PENETRATION TEST!

Amigos hackers, é com enorme prazer que lhes passo esta informação pois compartilhar o bem com vocês é a minha missão.
← Postagem mais recente Postagem mais antiga → Página inicial

0 comentários:

Postar um comentário

Copyright © Hacking & Security | Powered by Xandao Design by Xandao86 | Xandao86